Giorni difficili per l'Italia, in stato di emergenza per la crisi ucraina e con la massima mobilitazione delle strutture di cyber security nazionali. Insomma un periodo di massima allerta che vede già vittime importanti, anche se non è detto che tali attacchi siano sponsorizzati da qualche stato. I due ransomware protagonisti dei nuovi attacchi contro Ferrorie dello Stato, Confindustria e Crich colpiscono infatti in Italia da tempo e con una certa contuinuità. Stiamo parlando delle famiglie ransomware Hive e Lockbit 2.0. Potrebbe quindi non esserci alcun collegamento con la crisi ucraina.
Hive attacca Ferrovie dello Stato: 10 milioni di dollari il riscatto
In questi giorni il gruppo Hive è molto attivo: è nella giornata di ieri che ha iniziato a diffondersi la notizia della presenza di segnali di un cyber attacco contro la rete informatica di Trenitalia e Rete Ferroviatia Italiana. L'azienda è stata costreta a disattivare alcune utenze del sistema di vendita, rendendo indisponibile l'acquisto dei biglietti.
L'azienda ha anche inviato un breve messaggio a tutti i dipendenti, indicando di disconnettere le VPN e spegnere i PC per i lavoratori da remoto e di disconnetere il cavo di rete e spegnere i PC per quelli in ufficio. Poche ore dopo è comparsa la rivendicazione: sul sito di leak del ransomware Hive è stato pubblicato l'annuncio dell'attacco.
Alcune fonti dicono che la presenza del gruppo Hive nella rete delle nostre ferrovie risalga già a 15 giorni fa, ma sul punto sono in corso le indagini di Trenitalia che ha pubblicato una nota nella quale psiega che
“Da stamani sulla rete informatica aziendale sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati a un’infezione da cryptolocker. Sono in corso le attività di verifica sulla rete. In via precauzionale sono state disattivate alcune utenze dei sistemi di vendita fisici di Trenitalia. Pertanto non è temporaneamente possibile acquistare titoli di viaggio nelle biglietterie e self service nelle stazioni, mentre è funzionante la vendita online. Anche la prenotazione dei servizi delle Sale blu di Rfi potrebbe non avvenire con la consueta regolarità”.
Il riscatto richiesto ammontava a 5 milioni di euro da inviare in Bitcoin, ma ad ora il riscatto è già raddoppiato. Pare comunque che qualcuno stia scrivendo a nome di RFI agli attaccanti, come si può vedere dalla live chat del sito di leak.
Non è sicuro però che siano rappresentanti di RFI visto che le credenziali del backend sono trapelate su Twitch, come riporta la ben informata testata online Red Hot Cyber. Da quel momento si nota come sia evidente (dal tono e dal tipo di risposte fornite) che RFI ha perso il controllo dell'accesso del canale di comunicazione con gli attaccanti, gestito ormai da ignoti utenti.
 |
| Fonte: Red Hot Cyber |
Gli attaccanti sembrano essersi risentiti della cosa e hanno raddoppiato il riscatto:
"Ringrazia quel tipo che ha pubblicato gli accessi sul suo canale. Da adesso il prezzo è di 10.000.000" si legge nella live chat.
LockBit colpisce Confindustria Caserta e Crich
Lo stesso giorno, il 23 Marzo, compare sul sito di leak del famoso ransomware Lockbit 2.0 la rivendicazione dell'attacco ai sistemi di Confindustria Caserta. L'ultimatum per il pagamento del riscatto è di sei giorni senza pubblicazione dei dati rubati: dal settimo giorno gli attaccanti minacciano la diffusione dei dati. Il countdown scade il 29 Marzo.
Lo stesso giorno in cui scadrà un altro ultimatum, sempre di LckBit 2.0: parliamo di quello contro Circh, famosa zienda di biscotti del trevigiano.
Hive Ransomware in breve
Hive è un ransomware recente: le sue operazioni sono iniziate a Giugno del 2021. Mira solo aziende ed enti pubblici: il breach iniziale avviene tramite la più classica delle campagne di phishing, con la quale viene distribuito il malware.
Ottenuto l'accesso alla rete, Hive è dotato di strumenti che consenton0 agli attaccanti lo spostamento laterale lungo le reti: i file trovati lungo la strada sono esfiltrati prima della criptazione. Il ransomware viene distribuito nella rete non appena gli attaccanti ottengono l'accesso admin sui Windows domain controller. Hive è specializzato nella cancellazione di qualsiasi backup ed è dotato di molteplici strumenti il cui scopo è quello di impedire il ripristino delle reti.
E' tra i pochi ransomware a disporre anche di una variante usata per criptare sistemi Linux e server FreeBSD.
Lockbit 2.0 in breve
- è attivo dal Settembre 2019 come Ransomware as a Service (SaaS);
- nel Giugno 2021 i suoi sviluppatori annunciando l'avvento della nuova versione di LockBit, la 2.0, con molte nuove funzionalità;
- viene aggiunta la funzionalità di criptazione automatica dei dispositivi nei domini Windows tramite le policy di gruppo;
- membri del gruppo iniziano a cercare insider per violare le aziende per ottenere accessi alle VN e agli RDP senza bisogno di gruppi intermediari;
- nel Gennaio 2022 viene aggiunto un encryptor per Linux per colpire i server VMware ESXi.
Per approfondire > LockBit, il ransomware che predilige le aziende italiane, si evolve. Ora colpisce anche le macchine virtuali
Per approfondire > Ransomware Lockbit: l'FBI fornisce dettagli tecnici e consigli di difesa grazie alle informazioni inviate dalle aziende colpite
Nessun commento:
Posta un commento