Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’attacco alla Alia Spa, è opera di Hive Ransomware.

Redazione RHC : 13 Gennaio 2022 08:34

Abbiamo riportato ad inizio dicembre, subito dopo l’attacco alla Clementoni vittima del ransomware Conti, di un altro attacco ransomware sferrato ai danni dell’azienda Alia S.p.a.

Ricordiamo che la Alia Servizi Ambientali S.p.A. è una grande azienda che si occupa della raccolta dei rifiuti ambientali nella zona di Firenze e nella Toscana e risulta attiva in 59 comuni toscani, 1.5 milioni di clienti serviti ed è la quinta società italiana del settore con 1800 dipendenti e 225 milioni di euro di ricavi.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

In questa vicenda non si è saputo granché e neanche le grandi testate giornalistiche hanno diffuso molto la notizia, ma sappiamo che l’incidente ransomware è costato diversi disservizi all’azienda, nonché ai cittadini, tanto che l’azienda stessa non è riuscita a stampare le bollette di dicembre nei tempi previsti.

I criminali di una cyber-gang non meglio precisata, sembra abbiano richiesto un riscatto di 400.000 euro, ma l’azienda non ha pagato e si è trovata quindi a dover ripristinare le sue infrastrutture con molti problemi.

Ma chi era la cyber-gang misteriosa che ha colpito la Alia Spa?

In un post su Twitter iniziato con una nostra news diffusa dall’account @cyber_etc che riportiamo di seguito:

L’utente @rivitna2 ha postato un commento “Right!” dove allega una print screen della chat del noto ransowmare Hive leaks, dove viene richiesto il prezzo del riscatto.

La cyber gang riporta che occorrerà pagare 400.000 dollari e che in caso di mancato pagamento i dati diverranno pubblici.

“ho caricato un elenco dei file esfiltrati che abbiamo prelevato dalla tua rete. i file saranno divulgati pubblicamente in caso di mancato pagamento”

Abbiamo sentito @rivitna2 per comprendere come abbia acquisito la news del Backend di Hive, e lui ci ha detto che si tratta di un broker di info per gruppi ransomware. prima lavorava per Black Matter (la nota cyber gang evoluta dalle cenere di DarkSide).

Ha iniziato facendo il ransomware scout andando su virus total e cercando file caricati.

Al momento sul Data leak site di Hive Leaks non è presente ancora la news, in quanto si tratta del backend dove le cyber gang trattano con le vittime prima di effettuare le pubblicazioni nella loro home page.

RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Chi è Hive Ransowmare?

Con una dichiarazione dei funzionari dell’FBI il 25 agosto del 2021, è stato affermato che il gruppo ransomware Hive stava attaccando il sistema sanitario negli Stati Uniti. La banda di ransomware Hive ha bloccato i sistemi IT del Memorial Health System, interrompendo l’assistenza sanitaria e mettendo a rischio la vita di diversi pazienti. Osservato per la prima volta nel giugno 2021, Hive ransomware opera come servizio ransomware di affiliazione in logica RaaS (Ransomware as a Service).

L’FBI ha notato che la cyber gang ha utilizzato più tattiche, tecniche e procedure (TTPs) per compromettere le reti. Il gruppo è noto per sfruttare varie esche di phishing con allegati dannosi per accedere a sistemi critici, oltre ad utilizzare il Remote Desktop Protocol (RDP) per spostarsi orizzontalmente nella rete.

Dopo aver crittografato i file critici, Hive ransomware distribuisce due script dannosi (hive.bat e shadow.bat) per eseguire la pulizia dopo la crittografia. Il gruppo minaccia quindi di far trapelare le informazioni che ottiene sul suo DLS (data leak site) HiveLeaks, qualora non venga pagata la richiesta di riscatto.

“Dopo aver compromesso la rete di una vittima, gli attori del ransomware Hive esfiltrano i dati e crittografano i file sulla rete. Gli attori lasciano una richiesta di riscatto su ciascuna directory interessata del sistema della vittima, che fornisce istruzioni su come acquistare il software di decrittazione”

ha affermato l’FBI in una nota.

Per evitare che gli antivirus li blocchoino, Hive interrompe il backup e il ripristino del computer, l’antivirus e l’antispyware e la copia dei file. Dopo aver crittografato i file e dopo averli salvati con un’estensione .hive, Hive crea i file batch hive.bat e shadow.bat , che contengono i comandi per il computer per eliminare l’eseguibile Hive, le copie di backup del disco o gli snapshot e i file batch. Questa è una tecnica comune utilizzata dal malware per ridurre le prove forensi disponibili.

Infine, Hive rilascia una richiesta di riscatto, HOW_TO_DECRYPT.txt, in ciascuna directory interessata. Ovviamente i file crittografati non sono decifrabili senza la chiave principale, che è in possesso della gang. Inoltre, la nota contiene i dettagli di accesso per il sito Web di TOR che la vittima può utilizzare per pagare il riscatto.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Skitnet: Il Malware che Sta Conquistando il Mondo del Ransomware

Gli esperti hanno lanciato l’allarme: i gruppi ransomware stanno utilizzando sempre più spesso il nuovo malware Skitnet (noto anche come Bossnet) per lo sfruttamento successivo delle ...

Bypass di Microsoft Defender mediante Defendnot: Analisi Tecnica e Strategie di Mitigazione

Nel panorama delle minacce odierne, Defendnot rappresenta un sofisticato malware in grado di disattivare Microsoft Defender sfruttando esclusivamente meccanismi legittimi di Windows. A differenza di a...

Falso Mito: Se uso una VPN, sono completamente al sicuro anche su reti WiFi Aperte e non sicure

Molti credono che l’utilizzo di una VPN garantisca una protezione totale durante la navigazione, anche su reti WiFi totalmente aperte e non sicure. Sebbene le VPN siano strumenti efficaci per c...

In Cina il CNVD premia i migliori ricercatori di sicurezza e la collaborazione tra istituzioni e aziende

Durante una conferenza nazionale dedicata alla sicurezza informatica, sono stati ufficialmente premiati enti, aziende e professionisti che nel 2024 hanno dato un contributo significativo al National I...

Quando l’MFA non basta! Abbiamo Violato il Login Multi-Fattore Per Capire Come Difenderci Meglio

Nel mondo della cybersecurity esiste una verità scomoda quanto inevitabile: per difendere davvero qualcosa, bisogna sapere come violarlo. L’autenticazione multi-fattore è una delle co...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006