Il gruppo di hacker noto come RansomHub ha pubblicato recentemente all’interno del proprio data Leak Site (DLS) la rivendicazione di un nuovo attacco informatico ad una PA italiana: l’Università di Genova.
Secondo quanto descritto nella sezione ‘Chi siamo’ del loro sito, RansomHub è formato da cybercriminali operanti in diverse parti del mondo, accomunati dall’intento di ottenere profitti economici attraverso le loro azioni illecite.
L’attacco è stato annunciato da RansomHub il 9 Settembre 2024, dove hanno pubblicato alcuni dettagli relativi alla violazione. La violazione riguarda circa 18 GB di dati e, se non verrà pagato il riscatto, i dati presumibilmente esfiltrati verranno pubblicati tra 13 giorni.
Avvio delle iscrizioni al corso Cyber Offensive Fundamentals
Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica?
La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima.
Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
RansomHub ha fornito delle immagini di esempio di dati esfiltrati. Le immagini sembrano raffigurare estratti di verbale, attestati di presenza, etc. suggerendo una vasta gamma di dati potenzialmente compromessi.
Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.
Chi è RansomHub?
RansomHub, una nuova piattaforma di ransomware-as-a-service (RaaS), è emersa nel febbraio 2024, prendendo di mira i sistemi operativi Windows, Linux ed ESXi attraverso malware sviluppato in Go e C++. Il modello di affiliazione, con un’alta percentuale di guadagno del 90%, ha attirato numerosi affiliati esperti, contribuendo a un significativo aumento delle infezioni globali. Le vittime, sparse in diciotto paesi, provengono principalmente dal settore IT. Il ransomware sfrutta vulnerabilità nei backup di cloud storage e configurazioni errate delle istanze Amazon S3 per aumentare l’estorsione. Secondo il gruppo di ricerca Insikt, sono state riscontrate similitudini nel codice con ALPHV e Knight Ransomware, suggerendo possibili connessioni tra queste entità.
Sul sito web di RansomHub, il gruppo dichiara di non attaccare obiettivi nei paesi della Comunità degli Stati Indipendenti (CIS), né in Cuba, Corea del Nord e Cina. Sebbene la composizione sembri di natura internazionale, il modus operandi del gruppo ricorda da vicino le tradizionali strutture di ransomware russe. È significativo notare anche il loro atteggiamento verso le nazioni legate alla Russia, così come la sovrapposizione di obiettivi comuni con altri gruppi ransomware russi.
Il gruppo recluta i propri affiliati principalmente attraverso il forum RAMP (Russian Anonymous Market Place), una piattaforma frequentata prevalentemente da utenti russi. Gli affiliati ricevono il 90% dei guadagni derivanti dalle attività illecite, mentre il restante 10% viene trattenuto dal gruppo principale. Contrariamente alle pratiche usuali, i fondi vengono inviati prima all’affiliato, un aspetto particolarmente apprezzato all’interno della comunità ransomware. Questo metodo è stato introdotto per mitigare la sfiducia generata da una frode di 22 milioni di dollari associata a ALPHV, in cui diversi affiliati non erano stati pagati, contribuendo a un clima di insicurezza nel contesto del Ransomware-as-a-Service (RaaS)
La Situazione Attuale
Ad oggi, l’Università di Genova non ha rilasciato dichiarazioni ufficiali riguardo all’attacco. Questa assenza di risposta lascia molte questioni in sospeso riguardo alla portata della violazione e alle misure adottate per mitigare i danni. Senza un comunicato stampa o una conferma ufficiale, le informazioni disponibili devono essere considerate come “fonti di intelligence” piuttosto che come conferme definitive della fuga di dati.
È probabile che l’Università rilasci ulteriori comunicazioni in futuro per chiarire la situazione. La trasparenza e la chiarezza nella gestione della crisi saranno fondamentali per comprendere appieno le implicazioni dell’attacco e le strategie di risposta adottate.
Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.
La storia di Ilya Lichtenstein, l’hacker responsabile di uno degli attacchi informatici più grandi mai compiuti contro le criptovalute, appare come un episodio di una serie TV, eppure è assolutamente reale. Dopo essere stato rilasciato,…
Se c’erano ancora dubbi sul fatto che le principali aziende mondiali di intelligenza artificiale fossero d’accordo sulla direzione dell’IA, o sulla velocità con cui dovrebbe arrivarci, questi dubbi sono stati dissipati al World Economic Forum…
Una settimana fa, il CEO di Cursor, Michael Truell, ha annunciato un risultato presumibilmente straordinario. Ha affermato che, utilizzando GPT-5.2, Cursor ha creato un browser in grado di funzionare ininterrottamente per un’intera settimana. Questo browser…
L’Italia si conferma uno degli obiettivi principali della campagna di attacchi DDoS portata avanti dal gruppo hacktivista NoName057(16). Secondo quanto dichiarato direttamente dal collettivo, il nostro Paese ha subito 487 attacchi informatici tra ottobre 2024…
La domanda ritorna ciclicamente da oltre dieci anni: uno smartphone può davvero sostituire un computer? Nel tempo, l’industria ha provato più volte a dare una risposta concreta, senza mai arrivare a una soluzione definitiva. Dai…
