Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione

Al momento stai visualizzando Ransomware e data breach: cosa succede quando un attacco informatico “buca” un’organizzazione

Ransomware e data breach: cosa succede davvero quando un attacco informatico colpisce una organizzazione e gli attaccanti iniziano a pubblicare i dati rubati? Un caso reale

Premessa: ransomware e data breach

Negli ultimi anni abbiamo sentito parlare sempre più spesso di attacchi informatici che hanno colpito aziende e istituzioni in tutto il mondo. Tra i più diffusi ci sono i ransomware e i data breach, due tipologie di attacchi che possono causare danni considerevoli ai dati e alle informazioni personali degli utenti coinvolti.

È importante precisare che il data breach può essere una conseguenza dell’attacco ransomware, ma non è l’unico possibile esito. In seguito ad un attacco ransomware, infatti, i dati possono anche essere criptati e resi inaccessibili fino al pagamento del riscatto richiesto dai criminali informatici. Tuttavia, in caso di mancato pagamento o di fallimento della negoziazione, i criminali potrebbero decidere di vendere i dati rubati sul dark web o utilizzarli per scopi fraudolenti. In questo caso, si verifica un data breach, ovvero una violazione della sicurezza informatica che comporta l’accesso non autorizzato ai dati sensibili dell’organizzazione o degli utenti coinvolti.

Nonostante il costante aumento degli attacchi informatici, spesso non siamo a conoscenza di cosa accade esattamente ai dati rubati. Per questo motivo, in questo articolo, vi proporremo un caso studio realmente accaduto, per fare chiarezza su cosa accade ai dati rubati in seguito ad un attacco ransomware.

Per saperne di più > Data breach: Italia sotto pressione

Lockbit attacca un grande gruppo sanitario italiano

Lockbit è una delle principali, se non la principale, operazione ransomware attualmente attiva. Ha una organizzazione sul modello del RaaS, Ransomware as a service. Come un vero e proprio business, Lockbit è gestito da un gruppo di cyber attaccanti che sviluppa una rete di affiliati. Gli affiliati diffondono il ransomware e spartiscono coi gestori del servizio i proventi ottenuti.

Lockbit colpisce quindi più organizzazioni in più parti del mondo, potendo contare su una vasta rete di affiliati. E l’Italia non è da meno. Le vittime di Lockbit in Italia sono molteplici, ma in questo caso ci concentriamo sull’attacco subito da Multimedica, ricostruito qui e qui dalla redazione degli esperti di Red Hot Cyber.

Il ransomware Lockbit, nella sua versione 3.0, ha colpito Multimedica, gruppo sanitario che gestisce le attività di strutture come il San Giuseppe di Milano e l’IRCSS Multimedica di Sesto San Giovanni. Il sito del gruppo è andato offline, i disservizi hanno travolto il il pronto soccorso della struttura di Sesto San Giovanni rendendo necessaria l’esclusione dai servizi di emergenza. Il personale sanitario non ha più potuto avere accesso alle cartelle cliniche dei pazienti e ha portato alla sospensione delle prenotazioni.

Dopo l’attacco e la paralisi dei sistemi, arriva la rivendicazione

Come detto, i ransomware criptano i dati e nella quasi totalità dei casi, interrompono l’operatività dei sistemi e quindi bloccano servizi e produttività. C’è però una fase che precede la criptazione dei dati: questa fase è detta di esfiltrazione e serve a rubare i dati presenti sui sistemi colpiti PRIMA di procedere alla criptazione delle copie rimanenti sui sistemi bersaglio. Il risultato è che:

  • i dati in chiaro sono trasferiti nelle mani degli attaccanti;
  • i proprietari legittimi non riescono più ad avere accesso ai dati, in quanto le copie rimaste sui sistemi finiscono criptate.

Qui gli attaccanti iniziano a fare pressione sulle vittime: si parla di doppia estorsione quando si richiede alle vittime di pagare un riscatto per riportare in chiaro i file e un riscatto per non pubblicare i dati rubati.

LockBit ha rivendicato il 26 Aprile 2023 l’attacco a multimedica.it e ha concesso 3 giorni all’azienda per pagare, prima di vedere pubblicati i dati rubati.

La rivendicazione dell'attacco sul site leak di Lockbit
La rivendicazione dell’attacco sul site leak di Lockbit. Fonte: Red Hot Cyber

Dopo 3 giorni LockBit pubblica i dati rubati: cosa c’è nell’archivio?

Detto fatto: 3 giorni dopo LockBit ha pubblicato i dati rubati, mentre il sito web di multimedica.it si presenta ancora oggi (3 maggio 2023, h. 15.20 n.d.r) così

Come si presenta il sito di Multimedica a 3 maggio 2023
Come si presenta il sito di Multimedica a 3 maggio 2023

Come da consuetudine, gli attaccanti iniziano a pubblicare campioni dei dati rubati.

sample dei dati pubblicati sul leak site di Lockbit
Un sample dei dati pubblicati sul leak site di Lockbit. Fonte: red Hot Cyber

Che cosa si trova nei campioni di dati rubati? Una grande quantità di dati personali e dati personali sensibili. Ad esempio:

  • Documenti di identità e passaporti;
  • Tessere sanitarie;
  • Fatture prestazioni di attività sanitarie ai clienti;
  • Diagnosi dei pazienti;
  • Analisi Cliniche di pazienti;
  • Dati Fiscali;
  • Informazione sui bilanci ecc..

LockBit non ha reso disponibili tutti i dati rubati, ma solo un “assaggio” segno che vi sono ancora trattative in corso.

Per saperne di più > Attacchi ransomware: quando vanno informati gli interessati?

Ogni attacco ransomware è anche un data breach

L’evoluzione degli attacchi ransomware negli ultimi anni ha portato alla nascita di una pratica chiamata “doppia estorsione”. Questa tecnica consiste nel criptare i dati dell’organizzazione vittima dell’attacco e, contemporaneamente, rubare tali dati e minacciare di renderli pubblici o venderli sul dark web se il riscatto richiesto non viene pagato. In altre parole, l’obiettivo principale degli attacchi ransomware non è più solo quello di estorcere denaro alle vittime, ma anche quello di rubare e diffondere informazioni riservate.

La doppia estorsione rende ogni attacco ransomware anche un data breach, poiché i dati sensibili dell’organizzazione vittima dell’attacco sono stati compromessi e possono essere finiti in mano ai criminali informatici. Ciò significa che non solo i dati sono stati crittografati e resi inaccessibili, ma anche che la loro confidenzialità è stata violata. Questo è particolarmente preoccupante perché, anche se la vittima decide di pagare il riscatto richiesto, non c’è alcuna garanzia che i dati rubati verranno effettivamente cancellati o che non verranno venduti a terzi.

Inoltre, quando si verifica una violazione dei dati, le organizzazioni sono tenute per legge a notificare le autorità competenti e gli interessati, e devono anche mettere in atto misure per proteggere i dati degli utenti e prevenire ulteriori violazioni. Tutto ciò può comportare costi elevati e danni reputazionali per l’organizzazione coinvolta.

Per saperne di più > Cosa fare in caso di violazione dati personali (Data breach)?

Hai subito una violazione dei dati personali, ma non sai come comunicarla al Garante? Oppure non sai se, per il tipo di violazione subita, la comunicazione al Garante sia obbligatoria? Chiedilo a noi, ti aiuteremo passo passo!

CONTATTA I NOSTRI CONSULENTI