Giorni difficili per l'Italia, in stato di emergenza per la crisi ucraina e con la massima mobilitazione delle strutture di cyber security nazionali. Insomma un periodo di massima allerta che vede già vittime importanti, anche se non è detto che tali attacchi siano sponsorizzati da qualche stato. I due ransomware protagonisti dei nuovi attacchi contro Ferrorie dello Stato, Confindustria e Crich colpiscono infatti in Italia da tempo e con una certa contuinuità. Stiamo parlando delle famiglie ransomware Hive e Lockbit 2.0. Potrebbe quindi non esserci alcun collegamento con la crisi ucraina. 

Hive attacca Ferrovie dello Stato: 10 milioni di dollari il riscatto

In questi giorni il gruppo Hive è molto attivo: è nella giornata di ieri che ha iniziato a diffondersi la notizia della presenza di segnali di un cyber attacco contro la rete informatica di Trenitalia e Rete Ferroviatia Italiana. L'azienda è stata costreta a disattivare alcune utenze del sistema di vendita, rendendo indisponibile l'acquisto dei biglietti.

L'azienda ha anche inviato un breve messaggio a tutti i dipendenti, indicando di disconnettere le VPN e spegnere i PC per i lavoratori da remoto e di disconnetere il cavo di rete e spegnere i PC per quelli in ufficio. Poche ore dopo è comparsa la rivendicazione: sul sito di leak del ransomware Hive è stato pubblicato l'annuncio dell'attacco.

LockBit colpisce Confindustria Caserta e Crich

Lo stesso giorno, il 23 Marzo, compare sul sito di leak del famoso ransomware Lockbit 2.0 la rivendicazione dell'attacco ai sistemi di Confindustria Caserta. L'ultimatum per il pagamento del riscatto è di sei giorni senza pubblicazione dei dati rubati: dal settimo giorno gli attaccanti minacciano la diffusione dei dati. Il countdown scade il 29 Marzo.

Lo stesso giorno in cui scadrà un altro ultimatum, sempre di LckBit 2.0: parliamo di quello contro Circh, famosa zienda di biscotti del trevigiano.

Hive Ransomware in breve

Hive è un ransomware recente: le sue operazioni sono iniziate a Giugno del 2021. Mira solo aziende ed enti pubblici: il breach iniziale avviene tramite la più classica delle campagne di phishing, con la quale viene distribuito il malware. 

Ottenuto l'accesso alla rete, Hive è dotato di strumenti che consenton0 agli attaccanti lo spostamento laterale lungo le reti: i file trovati lungo la strada sono esfiltrati prima della criptazione. Il ransomware viene distribuito nella rete non appena gli attaccanti ottengono l'accesso admin sui Windows domain controller. Hive è specializzato nella cancellazione di qualsiasi backup ed è dotato di molteplici strumenti il cui scopo è quello di impedire il ripristino delle reti. 

E' tra i pochi ransomware a disporre anche di una variante usata per criptare sistemi Linux e server FreeBSD.

Lockbit 2.0 in breve

• è attivo dal Settembre 2019 come Ransomware as a Service (SaaS);
• nel Giugno 2021 i suoi sviluppatori annunciando l'avvento della nuova versione di LockBit, la 2.0, con molte nuove funzionalità;
• viene aggiunta la funzionalità di criptazione automatica dei dispositivi nei domini Windows tramite le policy di gruppo;
• membri del gruppo iniziano a cercare insider per violare le aziende per ottenere accessi alle VN e agli RDP senza bisogno di gruppi intermediari;
• nel Gennaio 2022 viene aggiunto un encryptor per Linux per colpire i server VMware ESXi.