giovedì 24 marzo 2022
Ransomware scatenati sull'Italia: colpite Ferrovie dello Stato, Confindustria e l'azienda Crich
Giorni difficili per l'Italia, in stato di emergenza per la crisi ucraina e con la massima mobilitazione delle strutture di cyber security nazionali. Insomma un periodo di massima allerta che vede già vittime importanti, anche se non è detto che tali attacchi siano sponsorizzati da qualche stato. I due ransomware protagonisti dei nuovi attacchi contro Ferrorie dello Stato, Confindustria e Crich colpiscono infatti in Italia da tempo e con una certa contuinuità. Stiamo parlando delle famiglie ransomware Hive e Lockbit 2.0. Potrebbe quindi non esserci alcun collegamento con la crisi ucraina.
Hive attacca Ferrovie dello Stato: 10 milioni di dollari il riscatto
In questi giorni il gruppo Hive è molto attivo: è nella giornata di ieri che ha iniziato a diffondersi la notizia della presenza di segnali di un cyber attacco contro la rete informatica di Trenitalia e Rete Ferroviatia Italiana. L'azienda è stata costreta a disattivare alcune utenze del sistema di vendita, rendendo indisponibile l'acquisto dei biglietti.
L'azienda ha anche inviato un breve messaggio a tutti i dipendenti, indicando di disconnettere le VPN e spegnere i PC per i lavoratori da remoto e di disconnetere il cavo di rete e spegnere i PC per quelli in ufficio. Poche ore dopo è comparsa la rivendicazione: sul sito di leak del ransomware Hive è stato pubblicato l'annuncio dell'attacco.
Alcune fonti dicono che la presenza del gruppo Hive nella rete delle nostre ferrovie risalga già a 15 giorni fa, ma sul punto sono in corso le indagini di Trenitalia che ha pubblicato una nota nella quale psiega che
“Da stamani sulla rete informatica aziendale sono stati rilevati elementi che potrebbero ricondurre a fenomeni legati a un’infezione da cryptolocker. Sono in corso le attività di verifica sulla rete. In via precauzionale sono state disattivate alcune utenze dei sistemi di vendita fisici di Trenitalia. Pertanto non è temporaneamente possibile acquistare titoli di viaggio nelle biglietterie e self service nelle stazioni, mentre è funzionante la vendita online. Anche la prenotazione dei servizi delle Sale blu di Rfi potrebbe non avvenire con la consueta regolarità”.
Il riscatto richiesto ammontava a 5 milioni di euro da inviare in Bitcoin, ma ad ora il riscatto è già raddoppiato. Pare comunque che qualcuno stia scrivendo a nome di RFI agli attaccanti, come si può vedere dalla live chat del sito di leak.
Non è sicuro però che siano rappresentanti di RFI visto che le credenziali del backend sono trapelate su Twitch, come riporta la ben informata testata online Red Hot Cyber. Da quel momento si nota come sia evidente (dal tono e dal tipo di risposte fornite) che RFI ha perso il controllo dell'accesso del canale di comunicazione con gli attaccanti, gestito ormai da ignoti utenti.
Fonte: Red Hot Cyber
Gli attaccanti sembrano essersi risentiti della cosa e hanno raddoppiato il riscatto:
"Ringrazia quel tipo che ha pubblicato gli accessi sul suo canale. Da adesso il prezzo è di 10.000.000" si legge nella live chat.
LockBit colpisce Confindustria Caserta e Crich
Lo stesso giorno, il 23 Marzo, compare sul sito di leak del famoso ransomware Lockbit 2.0 la rivendicazione dell'attacco ai sistemi di Confindustria Caserta. L'ultimatum per il pagamento del riscatto è di sei giorni senza pubblicazione dei dati rubati: dal settimo giorno gli attaccanti minacciano la diffusione dei dati. Il countdown scade il 29 Marzo.