Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 24 Agosto 2021 21:40
Mentre LockBit opera all’estremità più alta dello spettro d’élite dei ransomware, ci sono molti altri ransomware che pur operando sempre in RaaS, risultano meno sofisticati, creati apposta per piccole o medie organizzazioni, anche se alcuni di questi stanno accumulando vittime, avvertono gli esperti.
Uno tra questi è Hive, segnalato per la prima volta il 26 giugno dall’autodefinito “cacciatore di ransomware” con sede in Corea del Sud dietro l’account Twitter @fbgwls245, che ha individuato l’eseguibile dannoso dopo che è stato caricato sul servizio di scansione malware VirusTotal il giorno prima.
La società di sicurezza McAfee afferma che, in base alla sua telemetria, le regioni finora più colpite dagli affiliati di Hive sono Belgio e Italia, seguite da India, Spagna e Stati Uniti.
Posizione delle vittime dell’alveare negli ultimi giorni (Fonte: McAfee)
Una vittima apparente di Hive è il Memorial Health System in Ohio, secondo quanto riportato da Bleeping Computer di recente, sulla base delle “prove” rilevate.
Finora, tuttavia, il Memorial Health System non sembra essere stato aggiunto al sito dedicato alla fuga di dati dell’operazione, “Hive Leaks”.
Il sito delle perdite dei dati ha elencato 28 vittime, tra cui un produttore di apparecchiature industriali con sede in Florida; un fornitore privato di tecnologia dell’informazione sanitaria con sede in Florida e ha incluso sistemi di cartelle cliniche elettroniche integrate; un produttore di motori cinese; un distretto scolastico della Pennsylvania; e un allevamento di tacchini con sede in Ohio, oltre a molti altri.
La quantità di vittime ha segnato un forte aumento dal 22 luglio, quando il team di ricerca e intelligence di BlackBerry ha contato sette vittime.
Nota di riscatto Hive (fonte: BlackBerry)
Sulla base di campioni di Hive, il codice del ransomware sembra essere “ancora in fase di sviluppo”, afferma BlackBerry.
Tutte le versioni dell’eseguibile Hive viste finora sono state scritte nel linguaggio Go.
Sono stati visti prendere di mira sia le versioni a 32 bit che a 64 bit di Windows. “Dopo aver compilato i campioni, viene utilizzato un packer – UPX – per oscurare il codice e rendere più difficile il rilevamento generico basato su stringhe”, afferma McAfee.
“Le dimensioni dei file per i binari del linguaggio Go possono essere molto grandi, anche se l’utilizzo di UPX riduce le dimensioni del file.”
Portale “servizio clienti” di Hive (Fonte: BlackBerry)
Chiunque abbia sviluppato Hive non sembra avere grandi competenze nella programmazione avanzata, come altri sviluppatori di ransomware affermano.
“Hive utilizza uno schema crittografico idiota e amatoriale in cui vengono utilizzate 100 chiavi RSA di varie dimensioni per crittografare i file”
ha detto a Information Security Media Group Brett Callow, analista delle minacce presso la società di sicurezza Emsisoft.
RedazioneUn nuovo allarme arriva dal sottobosco del cybercrime arriva poche ore fa. A segnalarlo l’azienda ParagonSec, società specializzata nel monitoraggio delle attività delle cyber gang e dei marketpla...
Cisco Talos ha identificato una nuova campagna ransomware chiamata DeadLock: gli aggressori sfruttano un driver antivirus Baidu vulnerabile (CVE-2024-51324) per disabilitare i sistemi EDR tramite la t...
Quanto avevamo scritto nell’articolo “Codice Patriottico: da DDoSia e NoName057(16) al CISM, l’algoritmo che plasma la gioventù per Putin” su Red Hot Cyber il 23 luglio scorso trova oggi pien...
Notepad++ è spesso preso di mira da malintenzionati perché il software è popolare e ampiamente utilizzato. Una vulnerabilità recentemente scoperta nell’editor di testo e codice open source Notep...
Una vulnerabilità critica associata all’esecuzione di codice remoto (RCE) in Outlook è stata sanata da Microsoft, potenzialmente consentendo a malintenzionati di attivare codice dannoso su sistemi...
