Hive Ransomware colpisce Ferrovie dello stato. 5 milioni di riscatto.

Massimiliano Brolli : 23 Marzo 2022 18:00

Autore: Pietro DI Maria e Massimiliano Brolli
Data Pubblicazione: 23/03/2022

Come avevamo anticipato qualche ora fa, il gruppo Ferrovie dello Stato è stata colpito da un ransomware il quale ha paralizzato una buona parte dell’azienda, oltre ad altre aziende satelliti del gruppo.

Al momento della scrittura dell’articolo, ancora non si conosceva il nome dei malintenzionati che hanno fatto irruzione all’interno delle infrastrutture informatiche, ed infatti, avevamo riportato che non era ancora pervenuta alcuna richiesta di riscatto.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Avevamo anche ipotizzato che si sarebbe potuto trattare di un indicente collegato alle sanzioni e alla posizione dell’Italia nei confronti della Russia, pensando a qualche hacker National State collegato al Cremlino, ma sembra che non si tratta di nulla di questo.

Da quanto ci è stato comunicato, si parla di “cybergang da profitto”, oltre ad essere una vecchia conoscenza più volte incontrata su queste pagine che lavora applicando il modello RaaS (Ransomware as a Service).

Qualora non conosciate di cosa si tratta, vi inviamo in calce una serie di risorse collegate di approfondimento.

Si parla infatti di Hive Ransomware, della quale pubblichiamo alcune comunicazioni interne del backend.

Il backend dei siti web (chiamati anche data leak site o DLS) utilizzati dalle bande criminali, sono quella componente del sito inaccessibile al pubblico, dove le aziende colpite dal ransomware procedono ad accordarsi in privato con i criminali informatici sulla richiesta di riscatto.

Nel primo messaggio di contatto viene riportato “avete colpito l’azienda sbagliata, vi offriamo 1 euro”, riportando che si tratta della rfi sbagliata, non quella USA.

A questo punto Hive risponde “tornerò dopo aver revisionato il profilo della tua azienda”, facendo comprendere che potrebbe essere un attacco completamente scollegato dal conflitto Ucraina-Russa.

Successivamente Hive fa degli approfondimenti, e riporta che per decifrare i dati occorrono ben 5.000.000 di euro che dovranno essere corrisposti in bitcoin.

Ma i 5 milioni di euro dovranno essere pagati entro 3 giorni, pena il raddoppio della somma da versare che sarà pari a 10 milioni di dollari in bitcoin.

Al momento non è chiaro chi abbia preso contatti con la cybergang e quindi se siano gli addetti delle Ferrovie dello Stato, in quanto, come vedremo tra poco, le credenziali di accesso al backend sono trapelate online su Twitch.

Come in tutte le gang che operano nel modello RaaS (Ransomware data service), qualora non venga trovato un accordo tra le parti, la gang sarà libera di pubblicare i dati nella sezione pubblica del sito, oppure rivenderli al miglior offerente.

Solo dopo un mancato accordo tra la gang e l’organizzazione colpita, viene pubblicato l’avviso all’interno del DLS con i dati esfiltrati.

La cosa interessante che è stato chiesto ad Hive quanto segue:

“but have you attacked us because Italy is supporting Ukraine?”

Ovvero

“ma ci hai attaccato perché l’Italia sostiene l’Ucraina?”

Questo messaggio fa comprendere che dietro i messaggi non ci siano le persone delle Ferrovie dello stato, ma degli utenti che hanno acceduto al backend in modo improprio.

Come abbiamo anticipato in precedenza, l’accesso al backend di Hive Ransomware, compresa anche l’utenza e la password di accesso, sono state pubblicate su un canale Twitch, pertanto chiunque è potuto accedere al backend e prendere contatti con la cybergang.

A questo punto RHC scrive prontamente ad un gruppo Telegram, dove l’immagine è trapelata online pubblicamente, dicendo di rimuovere immediatamente tale immagine che riportava l’utenza e la password di accesso al backend di Hive Ransomware, cosa che poi è stata fatta, ma le utenze erano perse per sempre.

RHC monitorerà la questione in modo da aggiornare il seguente articolo, o pubblicarne uno nuovo qualora ci siano novità sostanziali.

Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, oppure la stessa azienda voglia fare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, anche se in assenza di un backup dei dati, sono molte le volte che il ripristino è stato impossibile.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono:

• Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware; i backup critici devono essere isolati dalla rete per una protezione ottimale;
• Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
• Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
• Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
• Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
• Non seguire i collegamenti Web non richiesti nelle e-mail. Per ulteriori informazioni, fare riferimento alle risorse di phishing presenti su questo sito Web.
• Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
• Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda. Oggi occorre cambiare mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore