Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
RHC Dark Lab : 2 Giugno 2025 10:14
Il giorno 10 Maggio 2025 il comune di Pisa ha subito un attacco Ransomware all’interno dei loro sistemi informatici. Il giorno dopo Nova ha rivendicato l’attacco ed il 21 dello stesso mese ha minacciato di pubblicare 2TB di dati rubati dai server del comune.
Il RaaS Nova è apparso ad Aprile 2025 facendosi riconoscere per le sue comunicazioni pubbliche dirette ed umilianti per le vittime. Dal loro DLS non sembra apparire un particolare focus verso settori o stati specifici e ha creato un sistema di chat personalizzato per le comunicazioni con i loro affiliati.
Nova rappresenta uno dei numerosi RaaS apparsi nei primi mesi del 2025 confermando la natura dinamica dell’ecosistema ransomware. Dopo l’attacco al comune Pisa, il laboratorio di intelligence DarkLab di Red Hot Cyber è entrato in contatto con Nova per proporgli una intervista, in breve tempo Nova ha accettato di offrire le sue risposte alle nostre domande.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il RaaS non si è limitato alle sole risposte ma ha ospitato DarkLab in uno dei loro domini utilizzati per le chat di negoziazioni andando a personalizzare l’intera chatroom a tema RedHotCyber, di seguito trovate alcune immagini di NovaChat pubblicate col consenso del gruppo.
Il gruppo ci ha tenuto a precisare che le interviste da loro rilasciate vengono chiamate BlackView, vi lasciamo quindi con la BlackView al RaaS Nova!
Tutte le interviste condotte con gli attori della minaccia sono pubblicate senza alcuna alterazione, modifica o reinterpretazione. Le risposte sono presentate esattamente come fornite dagli individui o dai gruppi intervistati, per garantire il massimo livello di autenticità e trasparenza. RHC non media, censura o modifica in alcun modo il contenuto, consentendo ai lettori di valutare direttamente il tono, il linguaggio e le intenzioni espresse dagli stessi attori delle minacce.
RHC: Nova, vi diamo il benvenuto in RedHotCyber! Grazie mille per la vostra disponibilità nel condividere la vostra voce con i nostri lettori. Siete un gruppo apparso di recente quindi lasciamo a voi una introduzione sul vostro gruppo e le vostre operazioni. Inoltre potete darci la motivazione del vostro nome?
NOVA: Grazie per la vostra visita. Prima di tutto siamo un nuovo mercato RaaS che lavora con metodi avanzati, cifrando i dati di ogni vittima dalla quale otteniamo l’accesso, la richiesta di riscatto dipende dalla vittima, inoltre condividiamo metodi e forniamo locker per i nostri affiliati aiutandoli a costruire il loro business crypto. Per quanto riguarda il nome, in un primo momento lo abbiamo creato come RALord ma abbiamo ricevuto un messaggio da un altro gruppo chiamato RAworld (cinese) che voleva unirsi a noi, non accettiamo nessun altro team a lavorare con noi così abbiamo cambiato il nome in Nova. Ad ogni modo il nome non è importante come il nostro lavoro, Nova è stato scelto casualmente.
RHC: Come avete iniziato a lavorare a Nova e quali sono stati gli step più difficili? Avete avuto esperienza con altri RaaS in passato e se sì come giudicate l’ambiente che avete frequentato?
NOVA: Io sono colui che ha creato Nova, sono stato leader in molti altri RaaS tra il 2018 ed il 2020 lavorando con estorsionisti premier, cioè solo crittografare senza BLOG. Questo è il primo RaaS dove sono diventato leader, i vecchi gruppi non avevano abbastanza competenze e siamo stati pagati ma non molto. Nova è il miglior gruppo con la quale io abbia mai lavorato, team di professionisti e competenze elevate. Questo non è solamente il mio pensiero, è il nostro lavoro a parlare.
RHC: Al di fuori dell’ecosistema ransomware avete qualche altro tipo di background tecnico? Quale è stata la motivazione che vi ha spinto ad entrare in questo ambiente?
NOVA: Sì, abbiamo competenze in altri ambiti, non solo RaaS. Tenete d’occhio il ragazzo che si occupa della cybersecurity nella vostra azienda, noi tutti abbiamo il suo modo di pensare in modo da poter fare buoni attacchi. La motivazione è il denaro ed il divertimento, forse anche un po’ di rabbia ma non daremo ulteriori dettagli.
RHC: Avete attirato molta attenzione all’interno dei confini italiani per il vostro attacco al Comune di Pisa, potete dirci come avete trovato la postura a livello di sicurezza? Come la giudichereste in quanto attaccanti? Quali sono i 3 aspetti che migliorereste per migliorare la sicurezza informatica di questa vostra vittima recente?
NOVA: Non dirò le vulnerabilità o i dettagli, ma posso renderlo pulito. L’attacco è stato organizzato da un gruppo, dopo aver ottenuto l’accesso a 3 server con molti dati all’interno abbiamo rubato i dati ed azionato i locker. Abbiamo elevato i nostri permessi a root (admin) ed attivato il locker su tutti i dischi in modo che si fermassero e i dati fossero cifrati. Abbiamo cercato di contattare gli amministratori per iniziare una negoziazione ma a loro non ha interessato, così abbiamo leakato alcuni dati e venduto degli altri. Non daremo alcun consiglio senza negoziazione con le vittime.
RHC: Nel post di Pisa pubblicato sul vostro DLS avete citato direttamente ACN (Agenzia Cybersicurezza Nazionale) con la frase “this was just the beginning, go ask help from ACN, enjoy with data”, possiamo chiedervi il perché?
NOVA: ACN, pensavo che li avrebbero protetti combattendo contro di noi come la polizia spagnola, ma nah. Andiamo avanti.
RHC: Rimanendo su Pisa in che condizioni avete trovato i file da voi successivamente rubati? Erano presenti delle precauzioni?
NOVA: Non credo che ci siano backup, sono io che faccio l’operazione di cifratura. Tutti backup sono cifrati perché io cripto con permesso di amministratore.
RHC: Perché un vostro potenziale affiliato dovrebbe aderire a Nova rispetto ad altri RaaS? Quali sono i servizi che offrite e come assicurate la migliore qualità possibile?
NOVA: Prima di tutto i nostri locker. La maggior parte dei gruppi di ransomware usano C/C++ o Python i loro ransomware e Windows Defender da solo li può fermare. I nostri locker sono scritti in Rust, con meccanismi anti-detection, tutti i nostri affiliati non hanno affrontato alcuna detection dei locker. Microsoft crea sicurezza contro di noi e noi aggiorniamo in giornata, quindi il malware viene aggiornato ogni settimana. Noi usiamo uno schema 90/10 per gli affiliati, supporto 24 ore su 24 e 7 giorni su 7, nessun affiliato viene ignorato, offriamo panel e chat come molti altri ma la cosa fondamentale sono i locker.
RHC: Una delle prime caratteristiche che si possono notare del vostro gruppo è una comunicazione pubblica pungente atta a sminuire le vittime pubblicate sul vostro DLS. Questa metodologia è semplicemente parte del “carattere” di Nova o è presente della tattica per spingere le future vittime al pagamento dei vostri riscatti?
NOVA: Tattica, nessun dettaglio si può capire da solo.
RHC: Le vostre attività presentano dei rischi non da poco, come convivete con questi ultimi a livello operativo e personale?
NOVA: Sono in un posto dove nemmeno l’ISI riuscirebbe a catturarmi, anonimo e lavorativo.
RHC: Avete dei RaaS dalla quale avete preso spunto nella fase di creazione di Nova?
NOVA: No, non vedo molti gruppi seri, probabilmente quando ero nei vecchi gruppi ero motivato dai vecchi leader.
RHC: Avete mai pensato all’opportunità di sfruttare le vostre capacità tecniche per offrire servizi a pagamento di penetration test e ethical hacking agli enti statali e alle aziende, in un panorama in cui le vittime sono sempre meno propense a pagare i riscatti? Più in generale, secondo voi, il cybercrime quale direzione sta prendendo? cosa dovremmo aspettarci dal futuro?
NOVA: Io non aiuto, chiedete a chi aiuta e vi dirà la sua situazione. Aspettatevi buoni attacchi.
RHC: Cosa ne pensate dell’operazione lanciata da Prodaft denominata “Sell your Source” dove l’azienda propone di acquistare account nei forum di hacking per spiare i cyber criminali?
NOVA: beh, non mi interessa e non penso alle aziende che fanno legge o sicurezza. Lavoriamo solo con chi ci supporta, per quanto riguarda i forum li uso solo per gli annunci.
RHC: Oltre all’aspetto economico, le vostre azioni sono spinte anche da motivazioni politiche e/o ideologiche?
NOVA: Se fossimo hacktivisti sì, ma non lo siamo. Combattiamo solo per la nostra squadra, per i nostri affiliati e per me stesso.
RHC: Dobbiamo aspettarci delle novità da Nova in futuro? Se si, quali?
NOVA: Io mi aspetto i soldi e voi aspettatevi attacchi pericolosi.
RHC: Che messaggio volete comunicare alle vostre potenziali future vittime?
NOVA: Ci dispiace, abbiamo solo bisogno di soldi.
RHC: Stando alle vittime pubblicate sul vostro DLS siete molto eterogenei nel settore che colpite coi vostri attacchi. Come pianificate le vostre operazioni? Preferite bersagliare asset specifici oppure avete un approccio più dispersivo? Ci sono dei settori che intendete non impattare in nessun modo?
NOVA: ogni azienda che ha dei bug è vittima, forse in futuro prenderemo di mira l’EUROPA e i paesi che sono alleati ad essa.
RHC: Come giudicate la consapevolezza del rischio, in ambito digitale, da parte dell’opinione pubblica? E nell’ambiente istituzionale?
NOVA: nessuno si preoccupa del mondo cyber, questo è il nostro exploit. Fidatevi di me, anche se fate dei videocorsi a nessuno interessa, pensano che questo mondo sia difficile. Come consiglio a tutti dovrebbero fermarsi per dare loro consapevolezza.
RHC: Attualmente quale è la sfida principale per Nova?
NOVA: Nessuna, siamo al lavoro.
RHC: Come rispondereste all’affermazione “non bisogna in nessun caso comunicare con gli attaccanti né tantomeno pagare il riscatto da loro richiesto”?
NOVA: Si perde così l’azienda. Per esempio nell’attacco a Pisa, verranno persi 20 milioni per il GPDR, se invece pagano 500k o 600k non succederebbe nulla. Lo stesso vale per gli ospedali.
RHC: Come valutereste questo vostro primo periodo di attività? Siete soddisfatti dei traguardi raggiunti finora?
NOVA: Io lavoro. Non penso alle notizie o ai feeds. Siamo concentrati sugli obbiettivi.
RHC: Grazie Nova, ci ha fatto piacere la vostra collaborazione. Vi lasciamo liberi di dire le ultime parole ai nostri lettori
NOVA: Grazie amico, le domande sono state utili e noi rispondiamo a ciò che possiamo rispondere. A tutti i followers di RHC, venite ad avviare RaaS con noi, facciamo soldi : : ))
RHC Dark LabNegli ultimi giorni, su due noti forum underground specializzati nella compravendita di dati trafugati e metodi fraudolenti, sono comparsi dei post separati (ma identici nel contenuto), riguardanti un...
E se le intelligenze artificiali producessero del codice vulnerabile oppure utilizzassero librerie e costrutti contenenti bug vecchi mai sanati? Si tratta di allucinazione o apprendimento errato? Una ...
Anche questa mattina, gli hacker di NoName057(16) procedono a sferrare attacchi DDoS contro diversi obiettivi italiani. Nell’ultimo periodo, Telegram ha intensificato la sua azione co...
Secondo diverse indiscrezioni, il proprietario di Pornhub, Redtube e YouPorn ha intenzione di interrompere il servizio agli utenti francesi già mercoledì pomeriggio per protestare contro le ...
Gli hacker di NoName057(16) riavviano le loro attività ostili contro diversi obiettivi italiani, attraverso attacchi di Distributed Denial-of-Service (DDoS). NoName057(16) &#x...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
