Ransomware Hive: una task force internazionale irrompe nei sistemi degli attaccanti e mette in down l’infrastruttura. Recuperate le chiavi di criptazione.
Ransomware Hive down: giù il sito di pagamento e il site leak
Ieri, una task force internazionale di forze dell’ordine ha sequestrato il sito di pagamento su Tor e il site leak del gruppo, mettendo in down il ransomware Hive. L’operazione è stata possibile grazie al fatto che, lo scorso Luglio, l’FBI è riuscita ad infiltrarsi nell’infrastruttura del gruppo.
Se ne ha notizia grazie al fatto che il Dipartimento di Stato USA e l’Europol hanno annunciato pubblicamente che l’operazione internazionale congiunta ha permesso di infiltrare segretamente l’infrastruttura e iniziare un monitoraggio delle attività del gruppo ransomware. Monitoraggio che ha avuto oltre sei mesi di durata. Senza che il gruppo ne fosse consapevole quindi, le forze dell’ordine sono state al corrente di ogni attacco di Hive. Cosi hanno proceduto ad allertare i target e ad ottenere le chiavi di decriptazione delle vittime. Le stime parlano di oltre 130 milioni di dollari di riscatto sventate.
“A partire dal Luglio 2022, l’FBI ha infiltrato le reti di Hive, ottentuto le chiavi di decriptazione, offerte poi alle vittime sparse nel mondo, impendendo così alle vittime di pagare almeno 130 milioni di dollari di riscatti”
ha annunciato il Dipartimento di Stato USA.
Server dedicati e server virtuali: l’infrastruttura del ransomware Hive down
Stando a quanto condiviso pubblicamente, l’FBI ha avuto accesso a due server dedicati e un VPS in uso al gruppo e forniti da un provider californiano. La polizia olandese invece, con una operazione coordinata, ha ottenuto accesso anche a due server dedicati ai backup. Questi server sono stati localizzati in Olanda.
Questi accessi hanno consentito di accedere:
- al leak site principale e al sito per le negoziazioni;
- accedere al pannello web usati da operatori e affiliati.
Così le forze dell’ordine hanno messo mano a circa 300 chiavi di decriptazione di altrettante vittime sotto attacco e altre 1000 invece a vittime di attacchi precedenti. Non solo: l’FBI infatti ha potuto esaminare il database trovato su uno dei server infiltrati. Qui ha trovato le comunicazioni di Hive, i valori hash del file del malware, informazioni su oltre 250 affiliati del ransomware e ulteriori informazioni sulle vittime.
Il leak site sotto sequestro
Ad ora, gli utenti che si collegano al leak site su Tor vedono comparire un avviso di sequestro. L’avviso mostra molte bandiere: Norvegia, Francia, Lituania, Portogallo, Romania, Spagna, Svezia, Regno Unito ecc… E’ l’elenco delle forze dell’ordine che hanno partecipato alla task force internazionale.
La particolarità è che l’avviso pubblicato è una GIF che mostra lo stesso annuncio in russo e in inglese.
Hive ransomware in breve
Hive è un ransomware relativamente nuovo: le sue operazioni sono iniziate nel Giugno 2021 e si è fatto conoscere come ransomware prettamente “aziendale” che si diffonde principalmente tramite campagne di phishing recanti il payload di un malware per l’accesso remoto. E’ stato visto però anche sfruttare le vulnerabilità sui dispositivi esposti in Internet e utilizzare credenziali di accesso acquistate da altri gruppi di attaccanti.
Una volta ottenuto l’accesso alla rete, gli attaccanti tentano di diffondersi nella rete tramite movimenti laterali iniziando fin da subito l’esfiltrazione a fini estorsivi di tutti i dati sui quali riescono a mettere le mani. Ottenuto l’accesso amministratore sul domain controller di Windows, distribuiscono il ransomware a tutti i dispositivi che risultano collegati alla rete.
Una delle specialità di Hive è quella di cercare e cancellare qualsiasi backup riescano a intercettare e sono riusciti in alcuni casi a impedire il ripristino dei dati ad aziende che si erano dotati preventivamente di strumenti di backup. Tra le altre cose, Hive ha una variante capace di diffondersi e criptare sistemi Linux: in dettaglio questa versione cripta i server Linux e FreeBSD, comunemente usati per ospitare virtual machine.
Vittime illustri di Hive sono state MediaMarket (conosciuto come MediaWorld in Italia), la Tata Power, la New York Racing Association. In Italia invece è balzato agli onori della cronaca per aver bucato le reti di RFI – Rete Ferroviaria italiana e dell’USLSS 6 di Padova.
Proteggersi dai ransomware: step basilari
Premettendo che la sicurezza informatica al 100% non esiste e che gli strumenti, le soluzioni e la postura difensiva variano da azienda ad azienda, da rete a rete, i punti sottostanti sono il minimo indispensabile per raggiungere un livello accettabile di sicurezza informatica.
- Predisponi un piano di backup:
è fondamentale dotarsi di soluzioni di backup e di organizzarsi per eseguire backup di tutti i dati a cadenza regolare. I backup stessi andranno testati regolarmente, per verificare che i dati siano integri. Disporre di backup integri e il più recenti possibile consente di minimizzare la perdita dei dati e accelerare i processi di rispristino. E’ fondamentale isolare dalla rete i backup critici per evitare che, in caso di attacco ransomware, finiscano criptati anche i backup. A tale scopo, ti consigliamo di valutare la nostra soluzione Strongbox Cloud PRO, appositamente pensata per le PMI. - Mantieni sempre aggiornato il sistema operativo, i software e gli applicativi in uso:
le vulnerabilità sono le porte di accesso che consentono agli attaccanti di accedere alle reti. Verifica che questi software siano sempre aggiornati all’ultima versione disponibile ed installa le patch consigliate dal vendor. La suite di soluzioni di sicurezza aziendali Seqrite ha funzionalità specifiche a tale scopo: dalla gestione centralizzata delle patch alla scansione delle vulnerabilità. - Scegli una solida soluzione antivirus e mantienila sempre aggiornata:
sempre più soluzioni antivirus si sono dotate di strumenti specifici per il contrasto agli attacchi ransomware. Scopri di più sulla funzionalità antiransomware di Quick Heal / Seqrite, tecnologia brevettata negli Stati Uniti. - Adotta l’approccio zero trust:
applica il principio del “privilegio minimo” per tutti gli utenti: imposta cioè, utente per utente, solo le permissioni che gli sono effettivamente necessarie per svolgere le proprie mansioni. Fai si che ogni utente possa accedere soltanto alle informazioni che gli sono indispensabili.Per approfondire > Approccio di cybersecurity Zero Trust: perchè, come e quanto è importante per le aziende con forza lavoro remota - Evita di scaricare file o cliccare su link contenuti nelle email:
spesso l’accesso alle reti da parte degli attaccanti non avviene tramite sofisticate tecniche di attacco, ma anzi l’attaccante fa breccia nel punto più debole della catena della cyber sicurezza: l’utente. E’ fondamentale non fare click su link né scaricare allegati contenuti in email inaspettate, sospette, improvvise. Infine non abilitare mai le macro contenute nei documenti circolanti via email, a meno che non ci sia l’assoluta certezza della legittimità della comunicazione.Per Approfondire > Attacchi basati sulle macro di Office: come funzionano? Breve vademecum - Forma i dipendenti, i collaboratori e chiunque acceda alla rete:
come detto, l’anello debole della catena di cyber sicurezza e sicurezza dei dati è l’utente. Forma dipendenti e collaboratori, rendili partecipi dei protocolli di sicurezza e consapevoli e sensibili rispetto ai rischi, almeno quelli più diffusi. Stabilisci un protocollo di reazione in caso di incidente informatico, così che tutti sappiano cosa fare in caso dovesse verificarsi un attacco ransomware. - Non esporre mai direttamente in internet le connessioni Remote Desktop Protocol. Se proprio hai necessità di usare l’RDP, fallo sempre tramite una VPN.
- Implementa un modello di sicurezza stratificato (multi livello)
nella scelta di un approccio stratificato alla sicurezza, consigliamo di valutare attentamente:
> sicurezza delle reti e dei server;
> gestione degli endpoint;
> gestione dei dispositivi mobile.Per approfondire > Implementa un modello di sicurezza stratificato con Seqrite! - Implementa sistemi di protezione preventiva:
come l’Intrusion Prevention Sistem (IPS) e il Web Application Firewall. Saranno utili protezioni perimetrali, se posti a difesa dei servizi esposti su Internet.