Lo scorso aprile le attività italiane di Synlab – tra i principali fornitori europei di servizi di diagnostica medica e medicina di laboratorio – sono state oggetto di un attacco ransomware da parte dell’organizzazione criminale Black Basta, che ne ha paralizzato l’attività per alcuni giorni.

La gang ha sottratto 1,5 Tb di dati e chiesto un riscatto. Per fornire una prova del data breach, Black Basta aveva pubblicato carte di identità, passaporti e dati medici di alcuni pazienti come prova.

Snylab non si è piegata al ricatto, e nel frattempo è riuscita a ripristinare l’operatività dei suoi servizi, ma il 15 maggio i documenti sottratti sono stati pubblicati sul dark web. Per dare maggiore pubblicità alla propria azione Black Basta ha pubblicato anche un paio di link sulla rete Onion e sul web pubblico. Fra i dati sottratti ci sono documenti personali di identità, ma anche dati sanitari dei pazienti e risultati di esami, oltre a datasheet.

La risposta di Synlab

In seguito alla pubblicazione la società ha pubblicato una nota dove spiega che “Relativamente a quanto segue, si specifica che ogni sistema informativo il cui ripristino è stato completato è considerato avere un adeguato livello di sicurezza”. Segue l’elenco dei servizi ripristinati con l’avvio dell’analisi sulla integrità e disponibilità dei dati relativi alle prestazioni del laboratorio e dei servizi di medicina occupazionale.

Per quanto riguarda la perdita dei dati A seguito della pubblicazione dei dati da parte dell’organizzazione cybercriminale, Synlab si è attivata per l’analisi e l’identificazione dei dati oggetto di pubblicazione avvalendosi anche di fornitori specializzati del settore: considerate le complessità nella acquisizione dell’intero dataset attraverso il dark web l’attività potrà richiedere diverso tempo”. “All’esito dell’attività di analisi seguirà la classificazione dei dati pubblicati al fine di individuare i soggetti interessati e i relativi Titolari del Trattamento coinvolti, alla data attuale non singolarmente identificabili”.

Presente con oltre cinquecento laboratori in oltre trenta Paesi, Synlab era stata attaccata una ventina di giorni fa. Il 19 aprile un comunicato informava gli utenti che erano “sospese a livello nazionale tutte le attività presso i punti prelievo fino a nuova comunicazione (prelievi e consegna campioni), incluso il download e il ritiro dei referti”. Il 20 i servizi sono ripresi progressivamente e l’ultimo comunicato del 5 maggio spiegava che “Synlab ha rilevato che l’organizzazione cybercriminale, responsabile dell’attacco informatico del 18 aprile 2024 sostiene di aver sottratto, facendone copia, una quantità significativa di dati, compresi quelli dei pazienti e dei clienti, con conseguente aumento del rischio della loro diffusione in futuro”.

“Synlab informerà opportunamente tutti i soggetti interessati in conformità alla legge. Inoltre, la Società ha rilevato che l’organizzazione cybercriminale ha pubblicato una quantità limitata di informazioni, compresi i dati personali di alcuni individui, in aree del web in cui operano organizzazioni cybercriminali . Synlab Italia informerà queste persone interessate nella giornata di domani. Synlab ha implementato tutte le misure di sicurezza possibili per contenere questo attacco informatico e ha fatto progressi nel ripristino completo dei servizi diagnostici. Le indagini di digital forensics sono in corso e Synlab Italia continua a lavorare a stretto contatto con le autorità competenti e le forze dell’ordine”.

Rassicurazioni e pubblicazioni

Fra le Faq destinate ai pazienti e in quelle per medici e operatori sanitari si legge che il malware è stato individuato e l’attacco ha comportato l’inaccessibilità di alcuni dati, ma le attività di recupero sono state completate e l’operatività ripristinata.