Sabbath è la gang di hacker che ha attaccato l'Asl Napoli 3 Sud
Pubblicati già 1,5 Mg di dati sensibili: nomi, numeri di telefono, ricette mediche di pazienti, fatture sono alla mercè di tutti
di Rosa Benigno
Ven 21 Gennaio 2022 18:42
NAPOLI. CASTELLAMMARE DI STABIA. “In relazione alla cessazione della nostra attività, l’azienda ha 2-3 giorni di tempo per risolvere il problema, poiché in seguito i dati saranno resi pubblici integralmente e le chiavi di decrittazione verranno eliminate”. È una delle minacce che Sabbath (scritto così: 54bb47h, ndr), la gang cyber criminale che ha reso noto sul proprio blog l’attacco hacker condotto il 7 gennaio scorso contro l’Asl Napoli 3 Sud. È una sorta di “manifesto” reso pubblico dopo avere violato il sistema di 240 computer virtuali (macchine) appropriandosi e rendendo “invisibile” ogni documento finanziario, medico e dell’utenza privata contenuto in esso. È stato sottratto alla rete informatica dell’azienda sanitaria locale - che serve oltre un milione di utenti - il 90% dei dati. È un incalcolabile danno per la pubblica amministrazione che doveva custodire i “dati sensibili” degli abitanti di 56 comuni a Sud di Napoli. Per il momento Sabbath ha pubblicato online 1,5 Gb della mole di informazioni contenuta nei 42 computer dell’Azienda: quale “campione dimostrativo'”degli elementi in possesso della gang: foto di codici fiscali degli utenti, certificati medici di farmaci utilizzati per la cura del Covid, dati relativi ad aziende fornitrici, fatture, libretti pediatrici, concorsi, schede cliniche, reclami, numeri di telefono e prescrizioni mediche di pazienti che hanno effettuato visite in ospedale o sedi Asl e molto altro ancora. “Se non ci sono contatti seri - è l’altra minaccia degli hacker cattivi che si nascondono dietro il nome Sabbath - inviamo tutti i dati privati agli interessati e chiudiamo il sito. Sarà possibile trovarci solo attraverso il blog. Forniamo un pacchetto di dati demo. Se non seguirà alcuna conversazione, applicheremo i dati in modo diverso”. Sono due, quindi, i riscatti che chiede il gruppo di cyber criminali: il primo per concedere ai tecnici dell’azienda la chiave per decrittare i dati che sono stati sottratti e resi inaccessibili con un protocollo di crittografia di livello militare. Il secondo riscatto viene richiesto per scongiurare la pubblicazione dei dati in possesso di Sabbath. I 240 computer (macchine) virtuali - basate su Windows, Linux e altri sistemi operativi - sono ospitate su 42 server Hyper-V. L’Asl sta lavorando da quasi due settimane per porre rimedio al danno. Di certo non pagherà alcun riscatto perché questa è la linea nazionale. Ma, quindi, come sta procedendo per porre rimedio al danno subito anche dagli utenti che ora non sono più i soli a gestire i propri dati personali? Per il momento, l’Asl ha diramato uno stringato comunicato stampa in cui ammette la gravità dell’attacco informatico subito e assicura che si sta lavorando per restituire all’utenza la normalità dei servizi andati in tilt. Inoltre, ha messo a disposizione dei cittadini un numero di telefono e una mail qualora abbiano bisogno di informazioni su come accedere alle prenotazioni o sbrigare altre incombenze che prima dell’incursione di Sabbath venivano svolte con accesso online. Inutile chiedere all’Asl che cosa non abbia funzionato, ma è la stessa gang di Sabbath che informa chi ne vuole sapere qualcosa e che descrive cosa non ha funzionato all’interno delle infrastrutture della Regione Campania. Informazioni tecniche che rappresentano anche accuse pesanti di incompetenza e leggerezza: “Per quanto ne sappiamo, questo fornitore è una società regionale finanziata dallo Stato italiano. Un aspetto importante del suo lavoro è la protezione della salute personale e medica e dei dati. Di conseguenza, possiamo affermare che né il team IT né l’IDS Cortex XDR sono stati in grado di proteggere con successo il perimetro della rete e le risorse interne. La compagnia di assicurazioni non ha fretta nell’eliminare la minaccia della diffusione dei dati personali. Ora l’unica cosa che stanno facendo è nascondere i risultati dell’operazione”. Ma chi è Sabbath? Il sito specializzato redhotcyber.com - che sta seguendo con attenzione la vicenda - scrive: “La gang è stata avviata intorno a luglio 2020 usando il nome Eruption. Nel giugno del 2021 il nome si è tramutato in Arcane utilizzando un nuovo portale data leak site (DLS). Il nome Sabbath è emerso a settembre del 2021 quando Mandiant ha trovato un post su un sito Web underground dove la gang cercava partner per un nuovo programma di affiliazione ransomware in logica RaaS. Mandiant dice che le somiglianze nelle tecniche portano a concludere che tutte e tre le organizzazioni criminali, sono gestite dalla stessa cyber gang”.
L’allarme del professore della Hackademy della Federico II, Simon Pietro Romano: «C’è poca cultura di cyber security»
NAPOLI. «Oggi è fondamentale che tutti, pubblica amministrazione, aziende private, Università e singoli cittadini si preoccupino della sicurezza dei propri dati inseriti nel web e che si investi in questo campo», Simon Pietro Romano, professore della Cyber Hackademy dell’Università Federico II di Napoli, esperto in cyber security, cerca di istruire con corsi universitari sulla necessità di «evangelizzare con termini alla portata di tutti - spiega -sull’importanza di investire per proteggere i nostri “dati sensibili”».
Professore, che cosa dobbiamo fare o non fare per evitare che i nostri dati finiscano in mani di hacker senza scrupoli?
«Intanto, correggiamo l’accezione che si dà a questo termine “hacker” che, in sé, significa solo soggetto capace di mettere le mani in pasta. Quindi, è hacker una persona competente in questa materia. Distinguiamo perciò gli hacker etici dagli hacker cattivi. Il consiglio, quindi, è innanzitutto di non mettere nessuno dei nostri dati in circolo sul web. Se mandiamo in pdf la nostra carta d’identità, questa può essere intercettata e usata per sottoscrivere qualche contratto di cui noi non sappiam niente. Io non esisto, per esempio, su Facebook e bisogna fare attenzione anche a mandare in giro i nostri curriculum».
Ma investire ha dei costi...
«Chi di noi oggi non ha messo alla porta di casa una serratura non bulgara per evitare che ti entrino i ladri nell’appartamento due volte a settimana? In questo caso l’investimento ha un ritorno economico, direi».
Che messaggio ricaviamo da quanto successo all’Asl Napoli 3 Sud?
«Che c’è ancora carenza di cultura di sicurezza informatica. C’è ancora chi crea password con la propria data di nascita o il nome dei figli e che mette bigliettini con i pin delle proprie carte di credito nel portafogli».
Ma perché hanno preso di mira l’Asl?
«L’Asl Napoli 3 Sud non è peggiore rispetto ad altre. Talvolta i pirati informatici sparano nel mucchio. Altre volte mirano ad aziende che possono pagare, come hanno fatto di recente con la Mont Claire, di cui si sta parlando. La Pubblica amministrazione, si sa, non paga. Forse Sabbath ha fatto questa solo perché la Sanità è una cassa di risonanza forte».
Se vuoi commentare questo articolo accedi o registrati
