Cittadinanza digitale Sicurezza Informatica Sanità digitale Industry 4.0/Innovazione in azienda Infrastrutture digitali Procurement dell'innovazione Fatturazione elettronica Documenti digitali Scuola digitale Cultura e società digitali Mercati digitali Startup Strumenti Sostenibilità e smart city Intelligenza Artificiale In poche parole

sicurez

Cyber attacchi agli ospedali, Active Directory nel mirino: come proteggerlo

Home Sicurezza digitale
Partecipa al dibattito
Indirizzo copiato

La crescente ondata di attacchi ransomware dimostra che l’Active Directory in sanità rappresenta un bersaglio privilegiato per i cyber criminali. Gli episodi avvenuti a Taipei hanno reso evidente quanto sia cruciale proteggere questo nodo centrale per garantire la continuità dei servizi ospedalieri

Pubblicato il 11 set 2025
Michael Choo

Senior Solutions Architect, Semperis

Sanità digitale nel 2025 telemedicina predittiva IA in radiologia; sanità d'iniziativa; dati sanitari; stampa 4D; farmaci personalizzati; nanotecnologia in medicina Active Directory sanità NIS2 sanità:

Il 9 febbraio 2025, il Mackay Memorial Hospital di Taipei è diventato l’epicentro di un attacco informatico che ha paralizzato il pronto soccorso, cifrato cartelle cliniche digitali e messo a rischio i dati personali di oltre 16 milioni di pazienti. Solo pochi giorni dopo, un secondo ospedale, il Changhua Christian Hospital, è stato colpito da un attacco simile. Dietro entrambi gli incidenti: una violazione dell’Active Directory (AD), la spina dorsale dei sistemi di identità di molte infrastrutture IT, incluse quelle sanitarie.

Ospedali nel mirino: come rafforzare la cybersecurity

Questi episodi, pur gravi, non sono un’eccezione: fanno parte di una tendenza crescente che vede la sanità sempre più nel mirino dei gruppi ransomware. Un settore dove ogni minuto di downtime può avere conseguenze dirette sulla vita dei pazienti, e dove sistemi spesso obsoleti o ibridi convivono in ambienti complessi. In questo contesto, garantire la sicurezza dell’Active Directory non è più un tema tecnico riservato ai team IT, ma una priorità strategica per la resilienza operativa dell’intero sistema sanitario.

Perché AD è il bersaglio privilegiato degli attacchi ransomware

L’Active Directory funge da sistema centrale di autenticazione e autorizzazione all’interno di una rete. Chi ottiene accesso ad AD può controllare utenti, dispositivi, policy e risorse critiche. È un “punto di snodo” che connette l’intera architettura IT. E questo lo rende estremamente appetibile per i cyber criminali, specialmente in ambienti come quello sanitario, dove la rete è vasta, distribuita e con numerosi accessi esterni legittimi.

Secondo il Ransomware Risk Report 2024 di Semperis, il 35% delle organizzazioni sanitarie colpite da ransomware ha subito più attacchi simultanei. E peggio ancora: il 40% ha riportato perdite di dati anche dopo aver pagato il riscatto. È evidente che i criminali stanno perfezionando tecniche sempre più efficaci per penetrare nelle reti, sapendo che l’urgenza nel ripristinare i servizi medici rende gli ospedali bersagli particolarmente vulnerabili.

L’obiettivo principale è quasi sempre l’AD. Una volta compromesso, gli aggressori possono elevare i propri privilegi, accedere a sistemi legacy ancora in uso, e diffondere rapidamente codice malevolo in tutta l’infrastruttura IT.

Le modalità di compromissione dell’Active Directory

L’alleanza internazionale Five Eyes ha recentemente pubblicato il Cybersecurity Technical Report (CTR) 2024 dedicato proprio alla compromissione dell’Active Directory. Il documento evidenzia un problema strutturale: la sicurezza di AD è difficile da garantire perché ogni utente legittimo rappresenta potenzialmente un punto d’ingresso per un attaccante.

I metodi più comuni utilizzati per ottenere accesso iniziale ad AD includono:

  • Phishing e ingegneria sociale, per sottrarre credenziali AD di utenti legittimi;
  • Accesso RDP via Remote Desktop Gateway mal configurati, sfruttando credenziali rubate;
  • VPN senza autenticazione a più fattori (MFA), spesso ancora presenti in molte reti sanitarie;
  • Ambienti Citrix o VDI esposti su Internet e non adeguatamente protetti;
  • Portali HR o strumenti di supporto self-hosted con controlli di accesso deboli;
  • Attacchi di password spraying verso servizi accessibili esternamente, come OWA, VPN o portali SSO.

Una volta all’interno, gli attaccanti si muovono lateralmente all’interno dell’AD, alla ricerca di privilegi elevati, configurazioni errate o account legacy—spesso comuni negli ospedali—per espandere il controllo e attivare la fase distruttiva dell’attacco.

Il caso CrazyHunter: cosa è accaduto davvero a Taipei

Nel caso del Mackay Memorial Hospital, il ransomware CrazyHunter ha seguito un percorso “classico” di compromissione dell’Active Directory. Dopo il primo segnale d’allarme rilevato il 9 febbraio, le autorità sanitarie taiwanesi hanno attivato una task force d’emergenza. Ma ormai il danno era fatto: oltre 500 dispositivi bloccati, cartelle cliniche cifrate, interruzione dei servizi e fuga massiva di dati.

Il gruppo attaccante, noto come Hunter Ransom Group, ha utilizzato diverse tecniche per prendere il controllo della rete. Dopo l’accesso iniziale, probabilmente tramite phishing o credenziali compromesse, gli aggressori hanno:

  1. Escalato i privilegi all’interno dell’AD sfruttando permessi deboli o configurazioni errate;
  2. Utilizzato i Group Policy Objects (GPO) per distribuire ransomware su larga scala, eludendo i controlli di sicurezza;
  3. Impiegato un attacco BYOVD (Bring Your Own Vulnerable Driver), caricando un driver legittimo ma vulnerabile (zam64.sys di Zemana) per ottenere esecuzione in modalità kernel, disabilitare le protezioni EDR e avere pieno accesso ai sistemi.

L’uso dei GPO è particolarmente pericoloso: una volta compromessi, consentono l’esecuzione di payload dannosi su tutti i sistemi client collegati, propagando l’attacco in pochi secondi.

Rafforzare la resilienza: cosa devono fare le strutture sanitarie

Gli attacchi subiti dagli ospedali taiwanesi offrono una lezione chiara: gli attaccanti sono capaci di muoversi rapidamente, sfruttando vulnerabilità spesso invisibili e relazioni di fiducia implicite all’interno dell’AD. Per difendersi non bastano firewall e antivirus. Serve una strategia di resilienza delle identità, che preveda:

  • Visibilità continua sugli oggetti AD (utenti, gruppi, permessi, configurazioni GPO);
  • Rilevamento precoce di comportamenti anomali, come modifiche sospette a policy o escalation non autorizzate;
  • Controlli di accesso granulari, MFA ovunque possibile, e segmentazione delle reti;
  • Piani di ripristino dell’AD testati e automatizzati, per reagire tempestivamente in caso di attacco;
  • Soluzioni di monitoraggio specializzate per la sicurezza di Active Directory, capaci di individuare minacce latenti e proteggere account privilegiati.

La sicurezza AD come garanzia di continuità dei servizi essenziali

Nella sanità digitale, la posta in gioco è altissima. I dati sensibili rappresentano un bottino prezioso per i criminali informatici, mentre l’interruzione dei servizi può mettere a rischio la vita dei pazienti. L’Active Directory è il punto nevralgico attraverso cui passa ogni autorizzazione e autenticazione: proteggerlo equivale a garantire la sicurezza e l’operatività dell’intera struttura.

Le organizzazioni sanitarie devono affrontare la realtà: non è più una questione di “se” ci sarà un attacco, ma “quando”. Prepararsi significa adottare un approccio olistico alla protezione dell’identità digitale, fondato su visibilità, prevenzione e rapidità di risposta. In questo contesto, l’AD non è soltanto un’infrastruttura tecnica, è il cuore della resilienza digitale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Michael Choo
Senior Solutions Architect, Semperis
Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

Con o Senza – Galaxy AI per il business

Tutti
Mobile security
AI per il lavoro
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone
Leggi l'articolo Mobile Security by design: una sicurezza nativa e integrata nell’hardware
La soluzione
Mobile Security by design: una sicurezza nativa e integrata nell’hardware
Leggi l'articolo Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
scenari
Con o Senza Galaxy AI per il business: l’innovazione mobile va in scena
Leggi l'articolo Con o senza AI? L’intelligent workplace direttamente sullo smartphone
tecnologie
Con o senza AI? L’intelligent workplace direttamente sullo smartphone

Articoli correlati

  • difesa ue 2030

  • scenari

    Libro Bianco per la difesa e ReArm Europe: le sette aree strategiche per il 2030

    02 Apr 2025

    di Vincenzo E. M. Giardino

    Condividi
  • gdpr digital omnibus

  • sicurezza nazionale

    Cybersecurity: il ruolo strategico dell’ACN per attuare la NIS2

    31 Dic 2024

    di Oreste Pollicino e Flavia Scarpellini

    Condividi
  • AI europea; gestione progetti pubblici; transizione energetica mediazione dei conflitti sul lavoro; sostenibilità aziendale

  • analisi

    Gestione dei progetti pubblici, perché tante difficoltà: la ricerca Bocconi

    16 Mag 2025

    di Niccolò Cusumano

    Condividi