Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Hive Ransomware colpisce Ferrovie dello stato. 5 milioni di riscatto.

Massimiliano Brolli : 23 Marzo 2022 18:00

Autore: Pietro DI Maria e Massimiliano Brolli
Data Pubblicazione: 23/03/2022

Come avevamo anticipato qualche ora fa, il gruppo Ferrovie dello Stato è stata colpito da un ransomware il quale ha paralizzato una buona parte dell’azienda, oltre ad altre aziende satelliti del gruppo.

Al momento della scrittura dell’articolo, ancora non si conosceva il nome dei malintenzionati che hanno fatto irruzione all’interno delle infrastrutture informatiche, ed infatti, avevamo riportato che non era ancora pervenuta alcuna richiesta di riscatto.

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Avevamo anche ipotizzato che si sarebbe potuto trattare di un indicente collegato alle sanzioni e alla posizione dell’Italia nei confronti della Russia, pensando a qualche hacker National State collegato al Cremlino, ma sembra che non si tratta di nulla di questo.

Da quanto ci è stato comunicato, si parla di “cybergang da profitto”, oltre ad essere una vecchia conoscenza più volte incontrata su queste pagine che lavora applicando il modello RaaS (Ransomware as a Service).

Qualora non conosciate di cosa si tratta, vi inviamo in calce una serie di risorse collegate di approfondimento.

 Approfondisci il ransomware con gli articoli di RedHotCyber

Si parla infatti di Hive Ransomware, della quale pubblichiamo alcune comunicazioni interne del backend.

Il backend dei siti web (chiamati anche data leak site o DLS) utilizzati dalle bande criminali, sono quella componente del sito inaccessibile al pubblico, dove le aziende colpite dal ransomware procedono ad accordarsi in privato con i criminali informatici sulla richiesta di riscatto.

Nel primo messaggio di contatto viene riportato “avete colpito l’azienda sbagliata, vi offriamo 1 euro”, riportando che si tratta della rfi sbagliata, non quella USA.

A questo punto Hive risponde “tornerò dopo aver revisionato il profilo della tua azienda”, facendo comprendere che potrebbe essere un attacco completamente scollegato dal conflitto Ucraina-Russa.

Successivamente Hive fa degli approfondimenti, e riporta che per decifrare i dati occorrono ben 5.000.000 di euro che dovranno essere corrisposti in bitcoin.

Ma i 5 milioni di euro dovranno essere pagati entro 3 giorni, pena il raddoppio della somma da versare che sarà pari a 10 milioni di dollari in bitcoin.

Al momento non è chiaro chi abbia preso contatti con la cybergang e quindi se siano gli addetti delle Ferrovie dello Stato, in quanto, come vedremo tra poco, le credenziali di accesso al backend sono trapelate online su Twitch.

Schermata del backend di Hive Ransomware

Come in tutte le gang che operano nel modello RaaS (Ransomware data service), qualora non venga trovato un accordo tra le parti, la gang sarà libera di pubblicare i dati nella sezione pubblica del sito, oppure rivenderli al miglior offerente.

Solo dopo un mancato accordo tra la gang e l’organizzazione colpita, viene pubblicato l’avviso all’interno del DLS con i dati esfiltrati.

La cosa interessante che è stato chiesto ad Hive quanto segue:

“but have you attacked us because Italy is supporting Ukraine?”

Ovvero

“ma ci hai attaccato perché l’Italia sostiene l’Ucraina?”

Questo messaggio fa comprendere che dietro i messaggi non ci siano le persone delle Ferrovie dello stato, ma degli utenti che hanno acceduto al backend in modo improprio.

Come abbiamo anticipato in precedenza, l’accesso al backend di Hive Ransomware, compresa anche l’utenza e la password di accesso, sono state pubblicate su un canale Twitch, pertanto chiunque è potuto accedere al backend e prendere contatti con la cybergang.

La pubblicazione su Twitch dell’accesso al backend di Hive

A questo punto RHC scrive prontamente ad un gruppo Telegram, dove l’immagine è trapelata online pubblicamente, dicendo di rimuovere immediatamente tale immagine che riportava l’utenza e la password di accesso al backend di Hive Ransomware, cosa che poi è stata fatta, ma le utenze erano perse per sempre.

RHC monitorerà la questione in modo da aggiornare il seguente articolo, o pubblicarne uno nuovo qualora ci siano novità sostanziali.

Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, oppure la stessa azienda voglia fare una dichiarazione, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Come proteggersi dal ransomware

Le infezioni da ransomware possono essere devastanti per un’organizzazione e il ripristino dei dati può essere un processo difficile e laborioso che richiede operatori altamente specializzati per un recupero affidabile, anche se in assenza di un backup dei dati, sono molte le volte che il ripristino è stato impossibile.

Infatti, si consiglia agli utenti e agli amministratori di adottare delle misure di sicurezza preventive per proteggere le proprie reti dalle infezioni da ransomware e sono:

  • Utilizzare un piano di backup e ripristino dei dati per tutte le informazioni critiche. Eseguire e testare backup regolari per limitare l’impatto della perdita di dati o del sistema e per accelerare il processo di ripristino. Da tenere presente che anche i backup connessi alla rete possono essere influenzati dal ransomware; i backup critici devono essere isolati dalla rete per una protezione ottimale;
  • Mantenere il sistema operativo e tutto il software sempre aggiornato con le patch più recenti. Le applicazioni ei sistemi operativi vulnerabili sono l’obiettivo della maggior parte degli attacchi. Garantire che questi siano corretti con gli ultimi aggiornamenti riduce notevolmente il numero di punti di ingresso sfruttabili a disposizione di un utente malintenzionato;
  • Mantenere aggiornato il software antivirus ed eseguire la scansione di tutto il software scaricato da Internet prima dell’esecuzione;
  • Limitare la capacità degli utenti (autorizzazioni) di installare ed eseguire applicazioni software indesiderate e applicare il principio del “privilegio minimo” a tutti i sistemi e servizi. La limitazione di questi privilegi può impedire l’esecuzione del malware o limitarne la capacità di diffondersi attraverso la rete;
  • Evitare di abilitare le macro dagli allegati di posta elettronica. Se un utente apre l’allegato e abilita le macro, il codice incorporato eseguirà il malware sul computer;
  • Non seguire i collegamenti Web non richiesti nelle e-mail. Per ulteriori informazioni, fare riferimento alle risorse di phishing presenti su questo sito Web.
  • Esporre le connessione Remote Desktop Protocol (RDP) mai direttamente su internet. Qualora si ha necessità di un accesso da internet, il tutto deve essere mediato da una VPN;
  • Implementare sistemi di Intrusion Prevention System (IPS) e Web Application Firewall (WAF) come protezione perimetrale a ridosso dei servizi esposti su internet.

Sia gli individui che le organizzazioni sono scoraggiati dal pagare il riscatto, in quanto anche dopo il pagamento le cyber gang possono non rilasciare la chiave di decrittazione oppure le operazioni di ripristino possono subire degli errori e delle inconsistenze.

La sicurezza informatica è una cosa seria e oggi può minare profondamente il business di una azienda. Oggi occorre cambiare mentalità e pensare alla cybersecurity come una parte integrante del business e non pensarci solo dopo che è avvenuto un incidente di sicurezza informatica.

Massimiliano Brolli
Responsabile del RED Team e della Cyber Threat Intelligence di una grande azienda di Telecomunicazioni e dei laboratori di sicurezza informatica in ambito 4G/5G. Ha rivestito incarichi manageriali che vanno dal ICT Risk Management all’ingegneria del software alla docenza in master universitari.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006