Cos’è Black Basta, la cybergang dell’attacco hacker a Synlab che ha rubato i dati ai pazienti

L’attacco informatico, almeno la sua forma più evidente, è arrivato il 18 aprile. All’inizio sembrava qualcosa di simile a una interferenza. I portali di Synlab non erano più raggiungibili, impossibile prenotare gli esami. Synlab è una delle rete composta da 500 laboratori in tuta Europa, solo in Italia ci sono oltre 2.000 dipendenti. L’azienda lo ha chiarito subito: attacco hacker.

Nella stessa nota il network europeo di servizi di diagnostica medica ha comunicato l'interruzione momentanea di tutti i servizi informatici e l'istituzione di una task force per "mitigare gli impatti". Fin da subito è stato evidente che in ballo c'era la sicurezza dei dati sensibili dei pazienti. Poi i fatti lo hanno confermato: gli hacker si sono fatti vivi, minacciando l'azienda di diffondere i dati dei pazienti se non avessero ricevuto il pagamento di un riscatto. Al no di Synlab, la promessa è stata mantenuta: tutti i dati dei pazienti, compresi i referti degli esami diagnostici, sono stati pubblicati sul darkweb.

La rivendicazione dell'attacco hacker a Synlab

Ricostruiamo la vicenda. Dopo l’attacco del 18 aprile è arrivata anche la rivendicazione: la firma era di Balck Basta, un gruppo di cyber criminali attivi da tempo negli attacchi ransonware. Sono azioni che si basano sul ricatto e si svolgono in due tempi. Prima si entra in un sistema dove vengono conservati dati sensibili, poi gli hacker bloccano l’accesso agli archivi e quindi li copiano.

A questo punto il ricatto può seguire due strade. Nella prima, meno praticata, i cyber criminali chiedono una somma di denaro per permettere agli amministratori di accedere ai portali. Nella seconda, è il caso di Synlab, i dati vengono copiati e si chiede un riscatto per non diffonderli. In questo caso Synlab ha scelto di non pagare e Balck Basta ha pubblicato i dati sul dark web.

La storia di Black Basta e dei suoi cyberattacchi nel mondo

L’attacco a Synlab è solo l’ultimo. Black Basta è monitorato dall’aprile del 2022 quando ha cominciato a firmare i primi attacchi. In certe occorrenze sono riportati anche come BlackBasta. Secondo alcuni osservatori, gli hacker di Black Basta non hanno cominciato a lavorare nel 2022. Tutt’altro. Sembra che Black Basta sia collegata a FIN7, un altro gruppo di cybercriminali che è tracciato invece dal 2020.

Oltre ai collegamenti con FIN7 c’è un altro nome che ritorna nelle poche biografie che si trovano sui siti specializzati. Black Basta infatti sarebbe sorta dalle ceneri del Gruppo Conti, uno dei gruppo hacker che hanno collezionato più attacchi al mondo. Il guadagno stimato dagli attacchi supera i 150 milioni di dollari.

Al netto delle sue origini, in due anni Black Basta è diventato uno dei gruppi criminali più attivi nel panorama mondiale. Secondo un report di Kaspersky è il 12° gruppo più attivo al mondo. Solo nell’aprile del 2024, Black Basta è stato coinvolto in 28 dei 372 attacchi ransomware registrati in tutto il mondo. Gli attacchi sono stati visti negli Stati Uniti, Canada, Regno Unito e Italia.

Secondo la piattaforma The Hacker News, i dati sanitari sono tra i bottini più ricercati da Black Basta: “Le organizzazioni sanitarie sono obiettivi molto importanti per i criminali informatici. I motivi sono diversi: dimensioni delle aziende, infrastrutture tecnologiche e informazioni sanitarie. Bloccare queste strutture ha anche un impatto diretto sulla salute dei pazienti”.