Scacco matto in tre mosse. Tra il 26 e il 29 maggio il settore della distribuzione dei farmaci ha subito una serie di blocchi a causa di una raffica di attacchi informatici. Le vittime sono alcune delle più importanti aziende operanti nel settore e, apparentemente, gli incidenti di sicurezza non sarebbero collegati tra di loro. Sulla vicenda si sarebbero già attivati sia la Polizia Postale, sia l’Agenzia per la Cybersicurezza Nazionale (ACN). Gli attacchi, infatti, mettono a rischio la tenuta della rete di distribuzione di farmaci essenziali, con potenziali ritardi ed effetti negativi sulla salute di migliaia di persone.
Gli attacchi alle tre aziende – Alliance Healthcare, D.M. Barone e Farmacisti Più Rinaldi – hanno però caratteristiche e potenziali impatti diversi.
Distribuzione bloccata per ore nel nord-est
Farmacisti Più Rinaldi è un’azienda che opera in Friuli Venezia Giulia e Veneto, dove gestisce circa il 50% delle forniture alle farmacie del territorio. Se le prime notizie riguardanti il blocco della distribuzione facevano riferimento a un generico “guasto informatico”, in seguito si è parlato esplicitamente di un attacco hacker.
L’ipotesi più probabile è quella di un attacco ransomware, che prevede il blocco dei sistemi e una richiesta di “riscatto” per ottenerne il ripristino. Sul Dark Web, però, non c’è traccia di alcuna rivendicazione che faccia riferimento a Farmacisti Più Rinaldi. Stando a quanto dichiarato dall’azienda, i servizi sarebbero stati ripristinati nella giornata del 29 maggio.
Alliance Healthcare: i dati già sul Dark Web
Diverso il caso di Alliance Healthcare, gruppo che comprende anche aziende specializzate nella logistica e distribuzione di farmaci a livello internazionale. In questo caso l’attacco è stato rivendicato dal gruppo DATACARRY, che sul loro “sito di rappresentanza” hanno pubblicato un archivio compresso al cui interno ci sono circa 400 MB di dati.
Come al solito, i dati pubblicati rappresentano un “sample” con cui i pirati dimostrano di essere effettivamente in possesso di materiale sottratto alla vittima. Per quanto particolarmente “stiloso”, il sito del gruppo non fornisce particolari informazioni e, in particolare, i cyber criminali non specificano se l’attacco abbia portato solo al furto di dati o abbia avuto impatti sul funzionamento dei sistemi informatici dell’azienda.
