Redazione RHC : 13 Gennaio 2022 08:34
Abbiamo riportato ad inizio dicembre, subito dopo l’attacco alla Clementoni vittima del ransomware Conti, di un altro attacco ransomware sferrato ai danni dell’azienda Alia S.p.a.
Ricordiamo che la Alia Servizi Ambientali S.p.A. è una grande azienda che si occupa della raccolta dei rifiuti ambientali nella zona di Firenze e nella Toscana e risulta attiva in 59 comuni toscani, 1.5 milioni di clienti serviti ed è la quinta società italiana del settore con 1800 dipendenti e 225 milioni di euro di ricavi.
 Cybersecurity Awareness per la tua azienda? Scopri BETTI RHC!Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel, l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Scopri di più sul corso a fumetti di Red Hot Cyber. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
In questa vicenda non si è saputo granché e neanche le grandi testate giornalistiche hanno diffuso molto la notizia, ma sappiamo che l’incidente ransomware è costato diversi disservizi all’azienda, nonché ai cittadini, tanto che l’azienda stessa non è riuscita a stampare le bollette di dicembre nei tempi previsti.
I criminali di una cyber-gang non meglio precisata, sembra abbiano richiesto un riscatto di 400.000 euro, ma l’azienda non ha pagato e si è trovata quindi a dover ripristinare le sue infrastrutture con molti problemi.
Ma chi era la cyber-gang misteriosa che ha colpito la Alia Spa?
In un post su Twitter iniziato con una nostra news diffusa dall’account @cyber_etc che riportiamo di seguito:
L’utente @rivitna2 ha postato un commento “Right!” dove allega una print screen della chat del noto ransowmare Hive leaks, dove viene richiesto il prezzo del riscatto.
La cyber gang riporta che occorrerà pagare 400.000 dollari e che in caso di mancato pagamento i dati diverranno pubblici.
“ho caricato un elenco dei file esfiltrati che abbiamo prelevato dalla tua rete. i file saranno divulgati pubblicamente in caso di mancato pagamento”
Abbiamo sentito @rivitna2 per comprendere come abbia acquisito la news del Backend di Hive, e lui ci ha detto che si tratta di un broker di info per gruppi ransomware. prima lavorava per Black Matter (la nota cyber gang evoluta dalle cenere di DarkSide).
Ha iniziato facendo il ransomware scout andando su virus total e cercando file caricati.
Al momento sul Data leak site di Hive Leaks non è presente ancora la news, in quanto si tratta del backend dove le cyber gang trattano con le vittime prima di effettuare le pubblicazioni nella loro home page.
RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.
Con una dichiarazione dei funzionari dell’FBI il 25 agosto del 2021, è stato affermato che il gruppo ransomware Hive stava attaccando il sistema sanitario negli Stati Uniti. La banda di ransomware Hive ha bloccato i sistemi IT del Memorial Health System, interrompendo l’assistenza sanitaria e mettendo a rischio la vita di diversi pazienti. Osservato per la prima volta nel giugno 2021, Hive ransomware opera come servizio ransomware di affiliazione in logica RaaS (Ransomware as a Service).
L’FBI ha notato che la cyber gang ha utilizzato più tattiche, tecniche e procedure (TTPs) per compromettere le reti. Il gruppo è noto per sfruttare varie esche di phishing con allegati dannosi per accedere a sistemi critici, oltre ad utilizzare il Remote Desktop Protocol (RDP) per spostarsi orizzontalmente nella rete.
Dopo aver crittografato i file critici, Hive ransomware distribuisce due script dannosi (hive.bat e shadow.bat) per eseguire la pulizia dopo la crittografia. Il gruppo minaccia quindi di far trapelare le informazioni che ottiene sul suo DLS (data leak site) HiveLeaks, qualora non venga pagata la richiesta di riscatto.
“Dopo aver compromesso la rete di una vittima, gli attori del ransomware Hive esfiltrano i dati e crittografano i file sulla rete. Gli attori lasciano una richiesta di riscatto su ciascuna directory interessata del sistema della vittima, che fornisce istruzioni su come acquistare il software di decrittazione”
ha affermato l’FBI in una nota.
Per evitare che gli antivirus li blocchoino, Hive interrompe il backup e il ripristino del computer, l’antivirus e l’antispyware e la copia dei file. Dopo aver crittografato i file e dopo averli salvati con un’estensione .hive, Hive crea i file batch hive.bat e shadow.bat , che contengono i comandi per il computer per eliminare l’eseguibile Hive, le copie di backup del disco o gli snapshot e i file batch. Questa è una tecnica comune utilizzata dal malware per ridurre le prove forensi disponibili.
Infine, Hive rilascia una richiesta di riscatto, HOW_TO_DECRYPT.txt, in ciascuna directory interessata. Ovviamente i file crittografati non sono decifrabili senza la chiave principale, che è in possesso della gang. Inoltre, la nota contiene i dettagli di accesso per il sito Web di TOR che la vittima può utilizzare per pagare il riscatto.
RedazioneUn nuovo e insolito metodo di jailbreaking, ovvero l’arte di aggirare i limiti imposti alle intelligenze artificiali, è arrivato in redazione. A idearlo è stato Alin Grigoras, ricercatore di sicur...
Nel suo ultimo aggiornamento, il colosso della tecnologia ha risolto 175 vulnerabilità che interessano i suoi prodotti principali e i sistemi sottostanti, tra cui due vulnerabilità zero-day attivame...
Nonostante Internet Explorer sia ufficialmente fuori supporto dal giugno 2022, Microsoft ha recentemente dovuto affrontare una minaccia che sfrutta la modalità Internet Explorer (IE Mode) in Edge, pr...
Datacenter nello spazio, lander lunari, missioni marziane: il futuro disegnato da Bezos a Torino. Ma la vera rivelazione è l’aneddoto del nonno che ne svela il profilo umano Anche quest’anno Tori...
E’ stata individuata dagli analisti di Sophos, una complessa operazione di malware da parte di esperti in sicurezza, che utilizza il noto servizio di messaggistica WhatsApp come mezzo per diffondere...
