Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

L’attacco alla Alia Spa, è opera di Hive Ransomware.

Redazione RHC : 13 Gennaio 2022 08:34

Abbiamo riportato ad inizio dicembre, subito dopo l’attacco alla Clementoni vittima del ransomware Conti, di un altro attacco ransomware sferrato ai danni dell’azienda Alia S.p.a.

Ricordiamo che la Alia Servizi Ambientali S.p.A. è una grande azienda che si occupa della raccolta dei rifiuti ambientali nella zona di Firenze e nella Toscana e risulta attiva in 59 comuni toscani, 1.5 milioni di clienti serviti ed è la quinta società italiana del settore con 1800 dipendenti e 225 milioni di euro di ricavi.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)

  • Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    In questa vicenda non si è saputo granché e neanche le grandi testate giornalistiche hanno diffuso molto la notizia, ma sappiamo che l’incidente ransomware è costato diversi disservizi all’azienda, nonché ai cittadini, tanto che l’azienda stessa non è riuscita a stampare le bollette di dicembre nei tempi previsti.

    I criminali di una cyber-gang non meglio precisata, sembra abbiano richiesto un riscatto di 400.000 euro, ma l’azienda non ha pagato e si è trovata quindi a dover ripristinare le sue infrastrutture con molti problemi.

    Ma chi era la cyber-gang misteriosa che ha colpito la Alia Spa?

    In un post su Twitter iniziato con una nostra news diffusa dall’account @cyber_etc che riportiamo di seguito:

    L’utente @rivitna2 ha postato un commento “Right!” dove allega una print screen della chat del noto ransowmare Hive leaks, dove viene richiesto il prezzo del riscatto.

    La cyber gang riporta che occorrerà pagare 400.000 dollari e che in caso di mancato pagamento i dati diverranno pubblici.

    “ho caricato un elenco dei file esfiltrati che abbiamo prelevato dalla tua rete. i file saranno divulgati pubblicamente in caso di mancato pagamento”

    Abbiamo sentito @rivitna2 per comprendere come abbia acquisito la news del Backend di Hive, e lui ci ha detto che si tratta di un broker di info per gruppi ransomware. prima lavorava per Black Matter (la nota cyber gang evoluta dalle cenere di DarkSide).

    Ha iniziato facendo il ransomware scout andando su virus total e cercando file caricati.

    Al momento sul Data leak site di Hive Leaks non è presente ancora la news, in quanto si tratta del backend dove le cyber gang trattano con le vittime prima di effettuare le pubblicazioni nella loro home page.

    RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

    Chi è Hive Ransowmare?

    Con una dichiarazione dei funzionari dell’FBI il 25 agosto del 2021, è stato affermato che il gruppo ransomware Hive stava attaccando il sistema sanitario negli Stati Uniti. La banda di ransomware Hive ha bloccato i sistemi IT del Memorial Health System, interrompendo l’assistenza sanitaria e mettendo a rischio la vita di diversi pazienti. Osservato per la prima volta nel giugno 2021, Hive ransomware opera come servizio ransomware di affiliazione in logica RaaS (Ransomware as a Service).

    L’FBI ha notato che la cyber gang ha utilizzato più tattiche, tecniche e procedure (TTPs) per compromettere le reti. Il gruppo è noto per sfruttare varie esche di phishing con allegati dannosi per accedere a sistemi critici, oltre ad utilizzare il Remote Desktop Protocol (RDP) per spostarsi orizzontalmente nella rete.

    Dopo aver crittografato i file critici, Hive ransomware distribuisce due script dannosi (hive.bat e shadow.bat) per eseguire la pulizia dopo la crittografia. Il gruppo minaccia quindi di far trapelare le informazioni che ottiene sul suo DLS (data leak site) HiveLeaks, qualora non venga pagata la richiesta di riscatto.

    “Dopo aver compromesso la rete di una vittima, gli attori del ransomware Hive esfiltrano i dati e crittografano i file sulla rete. Gli attori lasciano una richiesta di riscatto su ciascuna directory interessata del sistema della vittima, che fornisce istruzioni su come acquistare il software di decrittazione”

    ha affermato l’FBI in una nota.

    Per evitare che gli antivirus li blocchoino, Hive interrompe il backup e il ripristino del computer, l’antivirus e l’antispyware e la copia dei file. Dopo aver crittografato i file e dopo averli salvati con un’estensione .hive, Hive crea i file batch hive.bat e shadow.bat , che contengono i comandi per il computer per eliminare l’eseguibile Hive, le copie di backup del disco o gli snapshot e i file batch. Questa è una tecnica comune utilizzata dal malware per ridurre le prove forensi disponibili.

    Infine, Hive rilascia una richiesta di riscatto, HOW_TO_DECRYPT.txt, in ciascuna directory interessata. Ovviamente i file crittografati non sono decifrabili senza la chiave principale, che è in possesso della gang. Inoltre, la nota contiene i dettagli di accesso per il sito Web di TOR che la vittima può utilizzare per pagare il riscatto.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    La Cina Accusa la NSA di aver usato Backdoor Native su Windows per hackerare i Giochi Asiatici

    Le backdoor come sappiamo sono ovunque e qualora presenti possono essere utilizzate sia da chi le ha richieste ma anche a vantaggio di chi le ha scoperte e questo potrebbe essere un caso emblematico s...

    WindTre comunica un DataBreach che ha coinvolto i sistemi dei rivenditori

    Il 25 febbraio 2025 WindTre ha rilevato un accesso non autorizzato ai sistemi informatici utilizzati dai propri rivenditori. L’intrusione, riconosciuta come un’azione malevola, è st...

    Non sono ancora chiari i motivi del grande blackout in Spagna e Portogallo

    Ancora non sono chiari i motivi che hanno causato un grave Blackout in Spagna e Portogallo nelle ultime ore. Vaste aree sono rimaste senza energia elettrica, scatenando un’ondata di speculazion...