RansomHub rivendica un attacco informatico all’università di Genova. Allarme per la Sicurezza dei Dati

Vincenzo Miccoli : 11 Settembre 2024 07:22

Il gruppo di hacker noto come RansomHub ha pubblicato recentemente all’interno del proprio data Leak Site (DLS) la rivendicazione di un nuovo attacco informatico ad una PA italiana: l’Università di Genova.

Secondo quanto descritto nella sezione ‘Chi siamo’ del loro sito, RansomHub è formato da cybercriminali operanti in diverse parti del mondo, accomunati dall’intento di ottenere profitti economici attraverso le loro azioni illecite.

L’attacco è stato annunciato da RansomHub il 9 Settembre 2024, dove hanno pubblicato alcuni dettagli relativi alla violazione. La violazione riguarda circa 18 GB di dati e, se non verrà pagato il riscatto, i dati presumibilmente esfiltrati verranno pubblicati tra 13 giorni.

CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

RansomHub ha fornito delle immagini di esempio di dati esfiltrati. Le immagini sembrano raffigurare estratti di verbale, attestati di presenza, etc. suggerendo una vasta gamma di dati potenzialmente compromessi.

Al momento, non possiamo confermare la veridicità della notizia, poiché l’organizzazione non ha ancora rilasciato alcun comunicato stampa ufficiale sul proprio sito web riguardo l’incidente. Pertanto, questo articolo deve essere considerato come ‘fonte di intelligence’.

Chi è RansomHub?

RansomHub, una nuova piattaforma di ransomware-as-a-service (RaaS), è emersa nel febbraio 2024, prendendo di mira i sistemi operativi Windows, Linux ed ESXi attraverso malware sviluppato in Go e C++. Il modello di affiliazione, con un’alta percentuale di guadagno del 90%, ha attirato numerosi affiliati esperti, contribuendo a un significativo aumento delle infezioni globali. Le vittime, sparse in diciotto paesi, provengono principalmente dal settore IT. Il ransomware sfrutta vulnerabilità nei backup di cloud storage e configurazioni errate delle istanze Amazon S3 per aumentare l’estorsione. Secondo il gruppo di ricerca Insikt, sono state riscontrate similitudini nel codice con ALPHV e Knight Ransomware, suggerendo possibili connessioni tra queste entità.

Sul sito web di RansomHub, il gruppo dichiara di non attaccare obiettivi nei paesi della Comunità degli Stati Indipendenti (CIS), né in Cuba, Corea del Nord e Cina. Sebbene la composizione sembri di natura internazionale, il modus operandi del gruppo ricorda da vicino le tradizionali strutture di ransomware russe. È significativo notare anche il loro atteggiamento verso le nazioni legate alla Russia, così come la sovrapposizione di obiettivi comuni con altri gruppi ransomware russi.

Il gruppo recluta i propri affiliati principalmente attraverso il forum RAMP (Russian Anonymous Market Place), una piattaforma frequentata prevalentemente da utenti russi. Gli affiliati ricevono il 90% dei guadagni derivanti dalle attività illecite, mentre il restante 10% viene trattenuto dal gruppo principale. Contrariamente alle pratiche usuali, i fondi vengono inviati prima all’affiliato, un aspetto particolarmente apprezzato all’interno della comunità ransomware. Questo metodo è stato introdotto per mitigare la sfiducia generata da una frode di 22 milioni di dollari associata a ALPHV, in cui diversi affiliati non erano stati pagati, contribuendo a un clima di insicurezza nel contesto del Ransomware-as-a-Service (RaaS)

La Situazione Attuale

Ad oggi, l’Università di Genova non ha rilasciato dichiarazioni ufficiali riguardo all’attacco. Questa assenza di risposta lascia molte questioni in sospeso riguardo alla portata della violazione e alle misure adottate per mitigare i danni. Senza un comunicato stampa o una conferma ufficiale, le informazioni disponibili devono essere considerate come “fonti di intelligence” piuttosto che come conferme definitive della fuga di dati.

È probabile che l’Università rilasci ulteriori comunicazioni in futuro per chiarire la situazione. La trasparenza e la chiarezza nella gestione della crisi saranno fondamentali per comprendere appieno le implicazioni dell’attacco e le strategie di risposta adottate.

Come nostra consuetudine, lasciamo sempre spazio ad una dichiarazione da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.

RHC monitorerà l’evoluzione della vicenda in modo da pubblicare ulteriori news sul blog, qualora ci fossero novità sostanziali. Qualora ci siano persone informate sui fatti che volessero fornire informazioni in modo anonimo possono utilizzare la mail crittografata del whistleblower.

Vincenzo Miccoli
Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.

Lista degli articoli