Come vi avevamo raccontato, a fine aprile le operazioni di Synlab Italia, noto fornitore di servizi di diagnosi medica, sono state gravemente compromesse a seguito di un attacco informatico. Ebbene, il gruppo di estorsione Blackbasta ha recentemente rivendicato la responsabilità dell'incursione.
Dal 18 aprile, Synlab Italia ha segnalato interruzioni a causa di quello che inizialmente era stato descritto come problemi tecnici, causando la "interruzione temporanea dell'accesso ai sistemi informatici e telefonici e ai relativi servizi". Tuttavia, è emerso uno scenario preoccupante nelle ore seguenti.
La società ha informato i propri clienti dell'attacco in corso tramite la pubblicazione di aggiornamenti a riguardo in una pagina web dedicata e ha disattivato tutti i sistemi informatici in Italia come misura precauzionale, sospendendo temporaneamente le attività in punti di prelievo, centri medici e laboratori sul territorio nazionale fino a nuovo avviso.
Le dichiarazioni iniziali di Synlab hanno sollevato preoccupazioni particolari, sottolineando la necessità di isolare i sistemi per prevenire la diffusione della minaccia e mitigarne l'impatto. Queste misure drastiche di contenimento sono tipicamente associate a infezioni malware, mentre l'indisponibilità dei sistemi coinvolti suggerisce spesso un'infezione da ransomware.
Ora i ricercatori della piattaforma Ransomfeed.it hanno rivelato che Blackbasta ha rivendicato la responsabilità per un attacco ransomware contro Synlab, affermando di aver sottratto 1,5 TB di dati, inclusi dati aziendali, documenti personali dei dipendenti, dati personali dei clienti e analisi mediche.
Come prova della violazione, il gruppo ha pubblicato immagini di passaporti, carte d'identità e analisi mediche. Tra le immagini, è presente un elenco delle cartelle esfiltrate, alcune delle quali portano il nome di esami medici, mentre altre indicano centri situati nella regione Campania, sebbene l'attacco abbia interessato punti di campionamento in tutta Italia.
La data prevista per la pubblicazione dei dati rubati dal gruppo BlackBasta è fissata per l'11 maggio 2024. Attivo da aprile 2022, questo gruppo, come molte altre operazioni ransomware, adotta un modello di attacco a doppia estorsione.
Come funziona l'attacco hacker?
Nel novembre 2022, i ricercatori di Sentinel Labs hanno trovato evidenze che collegano il gruppo ransomware Black Basta al gruppo di hacking a motivazione finanziaria FIN7. Gli esperti hanno osservato un aumento delle infezioni da Qakbot, parte di una campagna aggressiva che porta a infezioni da ransomware Black Basta negli USA.
L'attacco inizia con una infezione da QBot proveniente da email di spam/phishing contenenti collegamenti URL malevoli. Gli operatori utilizzano poi lo strumento di post-esploitation Cobalt Strike per prendere il controllo della macchina e infine distribuire il ransomware Black Basta. Una volta ottenuto l'accesso alla rete, l'attore minaccioso si muove estremamente veloce; in alcuni casi osservati da Cybereason, sono bastate meno di due ore per ottenere privilegi da amministratore di dominio e meno di 12 ore per passare al dispiegamento del ransomware.