L’attacco alla Alia Spa, è opera di Hive Ransomware.

Abbiamo riportato ad inizio dicembre, subito dopo l’attacco alla Clementoni vittima del ransomware Conti, di un altro attacco ransomware sferrato ai danni dell’azienda Alia S.p.a.

Ricordiamo che la Alia Servizi Ambientali S.p.A. è una grande azienda che si occupa della raccolta dei rifiuti ambientali nella zona di Firenze e nella Toscana e risulta attiva in 59 comuni toscani, 1.5 milioni di clienti serviti ed è la quinta società italiana del settore con 1800 dipendenti e 225 milioni di euro di ricavi.

In questa vicenda non si è saputo granché e neanche le grandi testate giornalistiche hanno diffuso molto la notizia, ma sappiamo che l’incidente ransomware è costato diversi disservizi all’azienda, nonché ai cittadini, tanto che l’azienda stessa non è riuscita a stampare le bollette di dicembre nei tempi previsti.

I criminali di una cyber-gang non meglio precisata, sembra abbiano richiesto un riscatto di 400.000 euro, ma l’azienda non ha pagato e si è trovata quindi a dover ripristinare le sue infrastrutture con molti problemi.

Ma chi era la cyber-gang misteriosa che ha colpito la Alia Spa?

In un post su Twitter iniziato con una nostra news diffusa dall’account @cyber_etc che riportiamo di seguito:

L’utente @rivitna2 ha postato un commento “Right!” dove allega una print screen della chat del noto ransowmare Hive leaks, dove viene richiesto il prezzo del riscatto.

La cyber gang riporta che occorrerà pagare 400.000 dollari e che in caso di mancato pagamento i dati diverranno pubblici.

“ho caricato un elenco dei file esfiltrati che abbiamo prelevato dalla tua rete. i file saranno divulgati pubblicamente in caso di mancato pagamento”

Abbiamo sentito @rivitna2 per comprendere come abbia acquisito la news del Backend di Hive, e lui ci ha detto che si tratta di un broker di info per gruppi ransomware. prima lavorava per Black Matter (la nota cyber gang evoluta dalle cenere di DarkSide).

Ha iniziato facendo il ransomware scout andando su virus total e cercando file caricati.

Al momento sul Data leak site di Hive Leaks non è presente ancora la news, in quanto si tratta del backend dove le cyber gang trattano con le vittime prima di effettuare le pubblicazioni nella loro home page.

RHC monitorerà la questione in modo da aggiornare il seguente articolo, qualora ci siano novità sostanziali. Nel caso ci siano persone informate sui fatti che volessero fornire informazioni sulla vicenda, possono accedere alla sezione contatti, oppure in forma anonima utilizzando la mail crittografata del whistleblower.

Chi è Hive Ransowmare?

Con una dichiarazione dei funzionari dell’FBI il 25 agosto del 2021, è stato affermato che il gruppo ransomware Hive stava attaccando il sistema sanitario negli Stati Uniti. La banda di ransomware Hive ha bloccato i sistemi IT del Memorial Health System, interrompendo l’assistenza sanitaria e mettendo a rischio la vita di diversi pazienti. Osservato per la prima volta nel giugno 2021, Hive ransomware opera come servizio ransomware di affiliazione in logica RaaS (Ransomware as a Service).

L’FBI ha notato che la cyber gang ha utilizzato più tattiche, tecniche e procedure (TTPs) per compromettere le reti. Il gruppo è noto per sfruttare varie esche di phishing con allegati dannosi per accedere a sistemi critici, oltre ad utilizzare il Remote Desktop Protocol (RDP) per spostarsi orizzontalmente nella rete.

Dopo aver crittografato i file critici, Hive ransomware distribuisce due script dannosi (hive.bat e shadow.bat) per eseguire la pulizia dopo la crittografia. Il gruppo minaccia quindi di far trapelare le informazioni che ottiene sul suo DLS (data leak site) HiveLeaks, qualora non venga pagata la richiesta di riscatto.

“Dopo aver compromesso la rete di una vittima, gli attori del ransomware Hive esfiltrano i dati e crittografano i file sulla rete. Gli attori lasciano una richiesta di riscatto su ciascuna directory interessata del sistema della vittima, che fornisce istruzioni su come acquistare il software di decrittazione”

ha affermato l’FBI in una nota.

Per evitare che gli antivirus li blocchoino, Hive interrompe il backup e il ripristino del computer, l’antivirus e l’antispyware e la copia dei file. Dopo aver crittografato i file e dopo averli salvati con un’estensione .hive, Hive crea i file batch hive.bat e shadow.bat , che contengono i comandi per il computer per eliminare l’eseguibile Hive, le copie di backup del disco o gli snapshot e i file batch. Questa è una tecnica comune utilizzata dal malware per ridurre le prove forensi disponibili.

Infine, Hive rilascia una richiesta di riscatto, HOW_TO_DECRYPT.txt, in ciascuna directory interessata. Ovviamente i file crittografati non sono decifrabili senza la chiave principale, che è in possesso della gang. Inoltre, la nota contiene i dettagli di accesso per il sito Web di TOR che la vittima può utilizzare per pagare il riscatto.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione