Il produttore di dispositivi medici Medtronic ha confirmed a cybersecurity breach fatto dopo che un gruppo di attori minacciosi ha affermato di aver rubato milioni di record e dati interni aziendali.
L’azienda ha rivelato che una parte non autorizzata ha ottenuto accesso a dati all’interno di alcune parti del suo ambiente IT aziendale. L’incidente è stato identificato e contenuto, con Medtronic che ha avviato un’indagine interna e ha coinvolto specialisti esterni in cybersecurity per valutarne l’ampiezza e l’impatto.
La divulgazione della violazione è seguita a rivendicazioni del gruppo di estorsione ShinyHunters, che ha inserito Medtronic nel sito della fuga a metà aprile. Il gruppo ha affermato di aver esfiltrato più di 9 milioni di documenti, inclusi dati personali identificabili, insieme a grandi volumi di fascicoli interni aziendali.
Secondo gli aggressori, i dati rubati potrebbero essere resi pubblici se le richieste di riscatto non venissero soddisfatte entro una scadenza stabilita. Tuttavia, Medtronic non ha confermato il volume o la natura esatta dei dati menzionati in tali affermazioni, e l’elenco è stato successivamente rimosso dalla piattaforma di fuga di notizie del gruppo.
Nella sua dichiarazione ufficiale, Medtronic ha sottolineato che la violazione era limitata ai sistemi IT aziendali e non ha riguardato i dispositivi medici, le operazioni di produzione o l’infrastruttura di assistenza ai pazienti. L’azienda ha inoltre dichiarato che i sistemi ospedalieri collegati ai suoi prodotti rimangono gestiti in modo indipendente e non sono stati colpiti dall’incidente.
Questa segmentazione tra reti aziendali e operative sembra aver avuto un ruolo chiave nel limitare il potenziale impatto. Isolando i sistemi critici, l’azienda ha ridotto il rischio che gli attaccanti si spostino lateralmente in ambienti legati a dispositivi medici o all’erogazione sanitaria.
Medtronic non ha rivelato come gli attaccanti abbiano inizialmente ottenuto l’accesso, e non sono stati confermati pubblicamente dettagli tecnici sul metodo di intrusione. L’indagine è in corso, con l’azienda che lavora per determinare se sono stati acceduti ai dati personali sensibili e se le persone coinvolte debbano essere notificate.
L’incidente riflette una tendenza più ampia nelle operazioni di criminalità informatica, dove gli attaccanti danno priorità all’esfiltrazione e all’estorsione dei dati rispetto alla disordinazione del sistema. In tali casi, la minaccia di pubblicare dati rubati viene usata come leva per fare pressione sulle organizzazioni verso negoziazioni, anche quando le operazioni principali rimangono inalterate.
Con il proseguire dell’indagine, il caso mette in evidenza i rischi persistenti che affrontano i grandi fornitori di servizi sanitari e tecnologici, in particolare quelli che gestiscono ambienti IT aziendali estesi insieme a sistemi operativi critici.