Vincenzo Miccoli : 6 Agosto 2024 15:52
Il gruppo di cybercriminali noto come Hunters ha rivendicato un attacco ransomware ai danni di ENEA, l’Agenzia Nazionale per le nuove tecnologie, l’energia e lo sviluppo economico sostenibile.
L’attacco, avvenuto recentemente, ha sollevato serie preoccupazioni riguardo alla sicurezza informatica e alla protezione dei dati sensibili in possesso di enti governativi e istituzioni di ricerca. ENEA, riconosciuta a livello internazionale per il suo contributo alla ricerca scientifica e tecnologica, è un obiettivo di rilievo per gli hacker, data la natura delle informazioni che detiene, incluse ricerche avanzate e dati strategici.
Secondo quanto dichiarato da Hunters, il gruppo sarebbe riuscito a infiltrarsi nei sistemi di ENEA, e prelevando una parte significativa dei dati (219.9 GB).
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.
Tale mossa rientra nella tipica strategia dei gruppi ransomware, che mirano a estorcere denaro dalle vittime in cambio della restituzione dell’accesso ai dati e della garanzia di non divulgarli pubblicamente. Gli attacchi ransomware rappresentano una delle minacce informatiche più gravi e in rapida crescita, in grado di causare gravi danni economici e reputazionali alle organizzazioni colpite.
Hunters International è emerso nel panorama cibernetico contemporaneamente alla disgregazione del gruppo ransomware Hive da parte delle forze dell’ordine (https://www.justice.gov/opa/pr/us-department-justice-disrupts-hive-ransomware-variant).
Questo nuovo collettivo, individuato ad Ottobre del 2023, mostra significative somiglianze tecniche con Hive, suggerendo una possibile evoluzione o una derivazione dall’operazione smantellata. Questa transizione evidenzia le strategie adattive dei network di cybercriminali, che si evolvono per mantenere le loro attività illecite nonostante gli sforzi di contrasto delle autorità. L’inizio e la struttura operativa di Hunters International rappresentano una minaccia continua nel campo dell’estorsione informatica e del furto di dati.
Nell’immagine sopra riportata, il gruppo ransomware Hunters International ha dichiarato che l’ipotesi di una loro identificazione con il gruppo Hive è puramente speculativa. Essi sostengono che la somiglianza tra i due gruppi sia dovuta al fatto che tutto il codice sorgente di Hive, compresi il sito web e le vecchie versioni in Golang e C, è stato venduto. Di conseguenza, chiunque abbia acquistato questi codici potrebbe averli utilizzati, contribuendo così alla percezione di una continuità operativa tra Hive e Hunters International.
Questo gruppo prende di mira ambienti Windows e Linux, cripta i dati delle vittime e successivamente li esfiltra. I file compromessi vengono criptati e contrassegnati con l’estensione `.LOCKED`.
Una volta che i dati sono stati rubati e criptati, Hunters International esercita pressione sulle vittime attraverso minacce di divulgazione o vendita delle informazioni se il riscatto non viene pagato. Utilizzano siti dedicati alla fuga di notizie (DLS) per elencare le vittime e pubblicare dettagli sui dati rubati. Il loro sito di perdite, che elenca le vittime organizzate per paese, è stato operativo dal 20 ottobre 2023, ma ha guadagnato visibilità pubblica solo a partire dal 28 ottobre 2023, in seguito a segnalazioni di similitudini con il ransomware Hive.
Hunters International non solo minaccia di rivelare dati sensibili per costringere al pagamento del riscatto, ma può anche vendere i dati rubati sul dark web. Alcuni gruppi RaaS, inclusi Hunters International, usano i dati rubati per ulteriori attività dannose e per accrescere la loro reputazione criminale. Il gruppo ha registrato il loro dominio web utilizzando una falsa identità e il sito è ospitato su un server in Russia. La loro infrastruttura comprende vari domini Onion sul dark web, che servono a mantenere l’anonimato e a gestire i loro siti di leak. Utilizzano strumenti come il generatore di indirizzi vanity per aumentare la visibilità dei loro domini Onion.
Hunters International ha preso di mira principalmente settori come sanità, automotive, produzione, logistica, finanza, istruzione e alimentazione. Alcuni degli obiettivi recenti includono istituzioni sanitarie negli Stati Uniti e in Europa. Inoltre, il gruppo utilizza indirizzi IP associati a siti di phishing e botnet, dimostrando una complessa e ben organizzata infrastruttura online. In sintesi, Hunters International combina crittografia dei dati, estorsione tramite siti di leak, e vendita di dati rubati per ottenere riscatti e compromettere ulteriormente le vittime.
Il grafico seguente rappresenta l’attività di Hunters International per mese nel 2023 fino ad oggi, con il numero di incidenti indicato per ogni mese.
Come si può notare chiaramente dal grafico appena presentato, l’attività di Hunters International è caratterizzata da un alto numero di attacchi.
Come visibile nell’immagine di seguito, il messaggio di riscatto di Hunters International è molto simile ai tipici messaggi di ransomware, includendo l’avviso di criptazione dei dati, le procedure dettagliate necessarie per negoziare il pagamento del riscatto.
Hunters International è molto attivo e in continua evoluzione, infatti in data 25 Luglio 2024 sul suo DLS nella sezione News ha dichiarato di aver implementato una versione completamente nuova del software di crittografia/decrittografia: v5.0.0. Dichiarano di aver risolto tutti i problemi noti di tutte le generazioni precedenti e che ora il processo di decrittazione è diventato fluido, veloce e affidabile.
L’attacco all’ENEA è stato reso noto da Hunters International il 2 agosto 2024 sul loro sito di divulgazione dei dati. Il 6 agosto, tutti i dati esfiltrati sono stati pubblicati sul dark web. Si tratta di 219,9 GB di informazioni, comprendenti una vasta gamma di dati relativi all’ENEA, suggerendo un’ampia compromissione.
Hunters International ha quindi diffuso l’intero set di dati sottratti. Tuttavia, al momento non possiamo confermare con certezza l’autenticità della violazione, poiché l’ENEA non ha ancora rilasciato dichiarazioni ufficiali sul proprio sito web o attraverso altri canali istituzionali riguardo all’incidente.
L’assenza di dichiarazioni ufficiali da parte dell’ENEA crea un notevole vuoto informativo riguardo all’entità della violazione dei dati. Senza dettagli concreti, risulta difficile valutare la portata e la gravità dell’attacco subito. In mancanza di conferme ufficiali, le informazioni attualmente disponibili devono essere considerate con cautela e trattate come ipotesi, non come fatti accertati. Sebbene le fonti di intelligence possano offrire indicazioni utili, esse non possono sostituire conferme ufficiali.
Vi invitiamo a rimanere aggiornati per ulteriori sviluppi su questa vicenda, mentre attendiamo una comunicazione ufficiale da parte dell’ENEA in merito all’entità dell’attacco e alle misure di risposta adottate. È presumibile che l’agenzia rilascerà ulteriori comunicazioni in futuro per chiarire la situazione. La trasparenza e la chiarezza nella gestione della crisi saranno essenziali per comprendere appieno le implicazioni dell’attacco e le strategie di risposta messe in atto.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
Vincenzo MiccoliPiaccia o meno, l’invio di un’email a un destinatario errato costituisce una violazione di dati personali secondo il GDPR. Ovviamente, questo vale se l’email contiene dati personali o se altrime...
Nel gergo dei forum underground e dei marketplace del cybercrime, il termine combo indica un insieme di credenziali rubate composto da coppie del tipo email:password. Non si tratta di semplici elenchi...
Sulla veranda di una vecchia baita in Colorado, Mark Gubrud, 67 anni, osserva distrattamente il crepuscolo in lontananza, con il telefono accanto a sé, lo schermo ancora acceso su un’app di notizie...
Anthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
Il lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
