Data breach: Multimedica

Indice

Multimedica è un’azienda italiana responsabile dell’attività sanitarie svolte in strutture come ad esempio l’Ospedale San Giuseppe di Milano e l’Irccs Multimedica di Sesto San Giovanni. È stata oggetto di data breach da parte del collettivo LockBit, vediamo di saperne di più.

⚠️ Questo post è in aggiornamento, il contenuto potrebbe variare con il tempo. Si consiglia di visitare più volte l’articolo per rimanere aggiornati sulle notizie.

Cronologia eventi

  • 2122 aprile: data breach
  • 26 aprile: LockBit carica il materiale online
  • 29 aprile: il sito web di Multimedica S.p.A. torna online anche se con avviso di “Servizio momentaneamente disponibile
  • 30 aprile: LockBit rilascia il materiale esfiltrato al pubblico perché il riscatto non è stato pagato
  • 13 maggio: viene confermato il ripristino della maggioranza dei servizi offerti.

Informazioni sulla Multimedica S.p.A.

Le informazioni che seguono sono state acquisite dalla pagina di LinkedIn del gruppo Multimedica.

Fondata nel 1986, Il Gruppo MultiMedica ha quasi 30 anni di esperienza nel mondo della sanità italiana. L’insieme delle sue strutture ospedaliere e ambulatoriali offrono 823 posti letto, 20 culle, 60 posti tecnici di Dialisi, 213 ambulatori, 20 sale operatorie, 1 Pronto Soccorso e 1 Pronto Soccorso DEA. Oltre 2.000 persone impiegate sia in campo medico che scientifico. Nel 2014 presso le sue strutture sono stati ricoverati pazienti per un totale di circa 162mila giornate di degenza e sono stati realizzati oltre 27mila interventi. 147 i corsi di formazione realizzati per oltre 18mila ore di formazione interna e oltre 6mila esterna. Nel Gruppo operano 170 professionisti impegnati nell’attività di Ricerca che nel 2014 ha prodotto 241 pubblicazioni per un totale di 908 punti di IFN, di cui 680.5 riferibili alla sola area di Ricerca cardiovascolare dell’IRCCS MultiMedica.

La partita IVA della società Multimedica SpA, secondo i dati dell’Agenzia delle Entrate, è stata aperta nel 26/10/2009, nel 2021 contava un fattura di € 215.864.195,00, con a bordo 1868 dipendenti nel 2023 (dati ottenuti dal portale ufficiocamerale.it). Parliamo quindi di un’azienda solida, competente, sul territorio da molti alti se contiamo la data di fondazione (ma anche solo quella formale di apertura della partita iva). Infine sul portale ufficiale si leggeva una descrizione ulteriore che si riporta per completezza.

Il Gruppo MultiMedica, con i suoi 30 anni di esperienza, è tra i primi rappresentanti, in Italia, di quella sanità privata accreditata, fiore all’occhiello del nostro Paese. Si compone di un Istituto di Ricovero e Cura a Carattere Scientifico (IRCCS) a indirizzo cardiovascolare, un ospedale classificato e Polo didattico dell’Università degli Studi di Milano, due ospedali polispecialistici, un centro ambulatoriale, un centro di Medicina di Laboratorio, un Polo Scientifico e Tecnologico dedicato alla ricerca nell’area life-science e un Centro di Ricerca attivo nel campo delle proteine ricombinanti terapeutiche e dei farmaci biosimili. Infine, a completare l’attività del Gruppo, la Fondazione MultiMedica ONLUS, che si occupa di promuovere e sostenere la ricerca scientifica e la formazione professionale e culturale in ambito sanitario.

Le strutture

Le strutture che fanno parte della Multimedica S.p.A. e che sono reperibili sul portale sono:

  • I.R.C.C.S.: è un ospedale multispecialistico riconosciuto dal Ministero della Salute come Istituto di Ricovero e Cura a Carattere Scientifico per la disciplina “Malattie del Sistema Cardiovascolare“, comprendendo anche le attività di ricerca di base attuate nel Polo Scientifico e Tecnologico MultiMedica (PST) di Milano.
  • Ospedale San Giuseppe: sito nel centro di Milano, l’Ospedale San Giuseppe è polo universitario dell’Università degli Studi di Milano. È organizzato in tre dipartimenti: medico, chirurgico e materno-infantile. Quest’ultima area, in particolare, è diventata punto di riferimento per la città di Milano.
  • Ospedale MultiMedica di Castellanza: è un punto di riferimento nel territorio di Varese per tutte le specialità medico-chirurgiche. L’area d’eccellenza di questa struttura è però la Riabilitazione sia Cardiologica, parte integrante del Dipartimento Cardiovascolare, che Neuromotoria.
  • Ospedale MultiMedica di Limbiate (già Villa Bianca): è il presidio “storico” del Gruppo. Immerso nel Parco delle Groane, dista solo 14 km da Milano e vanta una tradizione ospedaliera di più di 50 anni. È specializzato nella riabilitazione intensiva per le patologie più complesse come i politraumi e le gravi lesioni cerebrovascolari e per i pazienti in coma.
  • Polo Scientifico e Tecnologico MultiMedica (PST): nei sui 10.000 mq nella zona sud di Milano, ospita i laboratori di ricerca dell’IRCCS MultiMedica, il MultiLab, ovvero il Dipartimento di Medicina di Laboratorio e Anatomia Patologica di MultiMedica, il Cadaver Laboratory e la Biobanca del Gruppo.
  • MultiMedica Cadaver Laboratory: All’interno del proprio Polo Scientifico e Tecnologico, il Gruppo MultiMedica ha implementato uno dei più innovativi spazi, a livello nazionale ed internazionale, per la dissezione e lo studio dell’anatomia umana nella sua globalità. Si chiama MARC (Milan Anatomical Research Center) ed è il primo Cadaver Laboratory aperto in Lombardia.
  • Ambulatorio Multispecialistico MultiMedica: è un ambulatorio polispecialistico nel pieno centro di Milano. Attrezzato con le più moderne strumentazioni diagnostiche, è in grado di rispondere alle più svariate richieste sanitarie, dal punto prelievi, alla fisiatria, alla radiologia con un focus d’eccellenza in ambito senologico.
  • Centro di Dialisi del Gruppo MultiMedica: inaugurato nel 2008 presso il Pio Albergo Trivulzio, è stato il primo ad essere situato all’interno di una Residenza Socio Assistenziale per Anziani.
  • MultiLab-Centro MultiMedica di Medicina di Laboratorio e Anatomia Patologica: comprende la Medicina di Laboratorio e l’Anatomia Patologica. Le due unità si articolano in diversi settori: Allergologia, Autoimmunità, Chimica clinica, Ematologia e Coagulazione, Microbiologia, Ricerche cliniche, Sierologia, Tossicologia, Istologia, Citologia, Biologia molecolare, Immunoistochimica.

☝︎Torna all’indice

Cosa è successo

Multimedica, da quanto si apprende dal Corriere della Sera, avrebbe subito due data breach in successione: gli eventi si sarebbero verificati tra il 21 e il 22 aprile 2023 e avrebbero compromesso la maggior parte dei sistemi interrompendo l’attività ambulatoriale, quella dei pronto soccorso e il ritiro dei referti. Questo ha provocato che l’interruzione dell’accettazione dei malati al pronto soccorso e il dirottamento delle ambulanze in alte strutture. C’è un articolo molto ben scritto da Chiara Crescenzi di Wired che riassume gli accadimenti.

Nella notte tra il 21 e il 22 aprile il sito ufficiale di Multimedica è diventato di colpo irraggiungibile, e l’app “Salutile” della Regione Lombardia ha improvvisamente smesso di fornire aggiornamenti in tempo reale sull’attività di cura dei pazienti nelle strutture sanitarie locali. Il motivo? “Problemi informatici interni”, ha riferito in un primo momento il gruppo, che ha poi ammesso di essere rimasto vittima di un cyberattacco che ha causato una “congestione” dell’attività delle strutture collegate. Per l’intero weekend, quindi, è stato bloccato l’accesso delle ambulanze ai reparti di emergenza, si è lavorato esclusivamente su cartelle cliniche cartacee e si è cercato di dimettere i pazienti come possibile.

Fonte: Wired (LINK)

L’autore del data breach è il collettivo LockBit che, tra le sue vittime, annovera per l’appunto Multimedica e dispone la deadline per il pagamento del riscatto il 30 aprile 2023 alle ore 22:44:32 UTC. Immediatamente, come consuetudine, sono stati pubblicati alcuni file di esempio (sample) del contenuto rinvenuto dagli hacker dall’esfiltrazione compiuta ai danni di Multimedica.

Si tratta di dati eterogenei: documenti di identità, dati di natura finanziaria, report diagnostici sui pazienti, che al momento rappresentano solo una piccola quantità del materiale trafugato.

Fraintendimenti iniziali

In molti si sono domandati cosa fosse successo a Multimedica nelle ore immediatamente successive ai disservizi: qualcuno ipotizzò un attacco DDoS poiché ad essere irraggiungibile era il portale web.

In realtà il disorientamento iniziale è stato causato dal ritardo nella rivendicazione dell’attacco; il materiale trafugato è stato caricato il 26 aprile 2023 alle ore 22:44 UTC da parte di LockBit. È normale che possa passare del tempo tra il data breach e la pubblicazione del materiale sul portale degli hacker, è (potremmo dire) fisiologico.

Il collettivo LockBit

Come già precedentemente scritto, l’attacco è stato rivendicato dal collettivo LockBit. Gli hacker della LockBit sono situati in Olanda e si proclamano apolitici e interessati solo al denaro. Una breve descrizione può essere estratta dal manifesto della LockBit.

We are located in the Netherlands, completely apolitical and only interested in money. We always have an unlimited amount of affiliates, enough space for all professionals. It does not matter what country you live in, what types of language you speak, what age you are, what religion you believe in, anyone on the planet can work with us at any time of the year. First and foremost, we’re looking for cohesive and experienced teams of pentestors. In the second turn we are ready to work with access providers: sale or on a percentage of redemption, but you have to trust us completely. We provide a completely transparent process – you can control the communication with the victim. In case when the company was encrypted and has not paid, you will see the stolen data in the blog. We also work with those who don’t encrypt networks, but just want to sell the stolen data, posting it on the largest blog on the planet.

La traduzione effettuata automaticamente restituisce il seguente contenuto:

Ci troviamo nei Paesi Bassi, completamente apolitici e interessati solo al denaro. Abbiamo sempre un numero illimitato di affiliati, spazio sufficiente per tutti i professionisti. Non importa in quale paese vivi, che tipo di lingua parli, che età hai, in quale religione credi, chiunque sul pianeta può lavorare con noi in qualsiasi momento dell'anno. Innanzitutto, cerchiamo team di pentestor coesi ed esperti. Nel secondo turno siamo pronti a lavorare con i fornitori di accesso: vendita o su una percentuale di riscatto, ma devi fidarti completamente di noi. Forniamo un processo completamente trasparente: puoi controllare la comunicazione con la vittima. Nel caso in cui l'azienda fosse crittografata e non avesse pagato, vedrai i dati rubati nel blog. Lavoriamo anche con chi non crittografa le reti, ma vuole solo vendere i dati rubati, pubblicandoli sul blog più grande del pianeta.

☝︎Torna all’indice

Le comunicazioni di Multimedica

Il 25 aprile 2023, una nota stampa pubblicata su Facebook alle 22:28 recita quanto segue:

Secondo attacco informatico a MultiMedica: garantite solo le attività di ostetricia, dialisi, riabilitazione, chemioterapia, medicina nucleare, ADI e ricoveri MultiMedica comunica agli interessati di aver subìto un secondo attacco hacker ai propri sistemi informatici. Dopo il primo attacco avvenuto nella notte tra venerdì 21 e sabato 22 aprile, la struttura aveva prontamente istituito una task force, costituita da professionisti interni ed esterni, ed era al lavoro per dare continuità alle attività clinico-assistenziali, quando è stata vittima di una seconda aggressione. Alla luce dell’attuale situazione, MultiMedica sta avvisando i propri utenti che resta sospesa tutta l’attività ambulatoriale, quella dei Pronto Soccorso e il ritiro dei referti. MultiMedica contatterà direttamente i pazienti già in nota che possono essere ricoverati. Seguiranno aggiornamenti operativi. L’azienda, che sta collaborando con la Polizia Postale, non è in grado di stabilire quando tutta l’operatività potrà tornare alla normalità.

Il 26 aprile 2023, su Facebook, il gruppo Multimedica pubblica un ulteriore avviso su Facebook, in cui si fa riferimento anche ad un video del TGR Lombardia su YouTube reperibile qui.

Il sito web di Multimedica S.p.A.

Il portale web dell’azienda è stato offline per diversi giorni. Con uno script è stato effettuato un controllo per individuarne l’eventuale ripristino che, da quanto tracciato, è avvenuto il giorno 30/04/2023 tra le 14:53:04 e le 14:57:05, come mostrato dalla schermata seguente.

Una volta tornato online, seppur con una schermata di “servizio momentaneamente disponibile”, si è potuto riscontrare che il web server è basato su NGINX alla versione 1.20.1 (rilasciata il 25 maggio 2021) come da changelog ufficiale. L’informazione sulla versione è stata confermata dal servizio WhatCMS come riportato dalla fotografia sottostante. La versione ultima di NGINX è la 1.24.0, rilasciata il giorno 11 aprile 2023.

Se fosse confermata la versione dichiarata da WhatCMS, la Multimedica si prepara ad eseguire un ripristino del sito web basandolo su un web server vecchio quasi due anni.

☝︎Torna all’indice

Analisi delle risultanze

La scritta Files Are Published che compare sul portale LockBit quando non si paga il riscatto e scade il tempo

Ciò che immediatamente può essere notato partendo dai file di esempio che gli hacker hanno pubblicato, è la grande eterogeneità di dati e informazioni a cui hanno avuto accesso: documenti di identità, cartelle cliniche, fatture di prestazioni sanitarie, bilanci finanziari.

Alle 19:16 del 1 maggio 2023 le pagine web che il collettivo LockBit espone presentano un errore.

FIno al 3 maggio alle ore 23:00, la pagina TOR del gruppo LockBIt, benchè si aprisse, non riusciva a mostrare correttamente i risultati del data breach. Questo ha reso impossibile esaminare le risultanze che, tra l’altro, non sono presenti nemmeno all’indirizzo dedicato a contenere tutti i leak ottenuti dai data breach.

Aggiornamenti

Aggiornamento del 15 maggio 2023

In un articolo del 13 maggio su Malpensa24 si legge:

A partire da oggi, sabato 13 maggio, sarà di nuovo possibile prenotare le prestazioni ambulatoriali tramite il contact center telefonico, chiamando i numeri 02-86.87.88.89 (SSN) e 02- 999.61.999 (Solventi/Fondi e Assicurazioni), o recandosi presso le diverse strutture del Gruppo.

Fonte: Malpensa 24 “Castellanza, sconfitto attacco hacker alla MultiMedica: si torna alla normalità” (LINK)

Alla data odierna (15/05/2023 – Ore 15.40) permangono ancora disagi per il portale web. Nel medesimo articolo si menzionava il fatto che il ripristino del sito sarebbe avvenuto successivamente.

I tecnici stanno ultimando le operazioni di ripristino del sito internet dell’azienda che tornerà operativo nel più breve tempo possibile.

Fonte: Malpensa 24 “Castellanza, sconfitto attacco hacker alla MultiMedica: si torna alla normalità” (LINK)