LockBit 5.0
Rilancio di LockBit (settembre 2025) dopo Operation Cronos. Encryptor multipiattaforma (Windows, Linux, ESXi, Proxmox), AES-256-CTR con RSA-2048, evasione avanzata (process hollowing, ETW patching, pulizia dei log). Doppia estorsione.
Un attacco non è un evento. È qualcuno. Il SOC italiano Fortgale traccia 287 tra gruppi avversari e strumenti d'attacco: queste sono le schede dei gruppi ransomware più attivi, con alias, tecniche di accesso, CVE sfruttate e modello di estorsione. Quando interveniamo, sappiamo già chi è e come opera.
La differenza tra rilevare e subire è conoscere l'avversario prima che agisca. Ogni scheda raccoglie ciò che serve al triage: lignaggio e rebrand, tecniche di accesso iniziale, CVE realmente sfruttate, modello di estorsione. Le TTP di questi gruppi sono integrate nelle regole di detection del SOC.
Profili costruiti su tecniche osservate sul campo e su monitoraggio delle infrastrutture di leak. Dove il dato pubblico è ancora sottile, la scheda lo dichiara: non inventiamo numeri.
Rilancio di LockBit (settembre 2025) dopo Operation Cronos. Encryptor multipiattaforma (Windows, Linux, ESXi, Proxmox), AES-256-CTR con RSA-2048, evasione avanzata (process hollowing, ETW patching, pulizia dei log). Doppia estorsione.
Attivo dal 2023, tra i più redditizi nel 2025. Accesso via VPN senza MFA e firewall non patchati: CVE-2024-40766 (SonicWall), CVE-2023-20269 (Cisco ASA), CVE-2024-37085 (VMware ESXi), CVE-2024-40711 (Veeam). Doppia estorsione.
Ex Agenda (2022), oltre mille vittime sul leak site a fine 2025, manifatturiero in testa. Accesso via phishing e applicazioni esposte, Cobalt Strike, Rclone per l'esfiltrazione. Esfiltra, poi cifra.
Dal 2023, si dichiara «cartel» nel marzo 2025 e assorbe affiliati di RansomHub dopo il crollo di aprile 2025. Sfrutta la catena Ivanti (CVE-2024-21887, CVE-2024-21893) e Log4Shell (CVE-2021-44228). Modello in licenza white label, estorsione ibrida.
Codice sorgente ceduto (luglio 2024) agli operatori di Lynx, considerato suo successore. Impersonificazione di staff IT, abuso di strumenti legittimi. Doppia estorsione con leak site.
Rebranding (gennaio 2025) di Hunters International: abbandona la cifratura per la sola esfiltrazione (Extortion as a Service). Strumenti custom di furto dati distribuiti agli affiliati.
Emerso nel 2024 come APT73 (poi Eraleig, quindi Bashe). Leak site che imita la grafica di LockBit. Origine probabile da un ex affiliato LockBit dopo la disruption del 2024.
Dal 2025, forte sfruttamento Fortinet (CVE-2024-55591). Tecniche living off the land (AnyDesk, PsExec, PowerShell), propagazione via Group Policy, evasione custom. Doppia estorsione.
Dal 2025, BYOVD per disattivare l'EDR (CVE-2024-51324, driver Baidu), rotazione dei proxy via smart contract Polygon, comunicazioni su Session. Circa il 57% delle vittime in area Europa e Russia.
Attivo dal 2022, pro-Russia, parte delle «Five Families» e legato a Dragon RaaS. Spear-phishing, sfruttamento di VPN e RDP esposti, brute-force. Doppia estorsione a movente politico.
Dal settembre 2024, non è RaaS. Accesso via credenziali valide e dispositivi edge (VPN, firewall, RD Gateway), cifratura ChaCha20, catena a volte sotto le 24 ore. Bersaglio: PMI e MSP.
Dal marzo 2025 (successore di Rbfs), sfrutta Fortinet CVE-2024-55591, mira alle PMI con scadenze di due giorni. Esfiltrazione via Rclone e MEGA, poi cifratura AES-256 con RSA-2048.
Dal 2024, legato all'infrastruttura Phobos. Leak site dall'estetica «corporate». Colpisce PMI di manifatturiero, tecnologia e sanità tra Stati Uniti ed Europa.
Rebranding (aprile 2025) di RALord. Encryptor in Rust, negoziazione via qTox. Dichiara di non colpire scuole e organizzazioni non profit. Doppia estorsione.
Brand di estorsione con rivendicazioni nel 2026, tracciato dagli aggregatori. Pubblica campioni di dati (buste paga, documenti). Dettaglio tecnico pubblico ancora limitato.
Emerso nel 2026, encryptor in Go (scambio chiavi X25519, AES-CTR e AES-GCM), auto-cancellazione via PowerShell. Prime vittime concentrate in IT e MSP, contatto via Tox.
Distribuito da affiliati dal 2019 (da non confondere con «Medusa» del 2021). Accesso via brute-force RDP e credenziali trafugate, propagazione RDP, PsExec, SMB. Doppia estorsione.
Dal 2020, in transizione dalla cifratura alla sola esfiltrazione e al brokeraggio di accessi. Oltre 120 vittime in ambito sanitario, con avvisi dedicati negli Stati Uniti.
Da luglio 2025, encryptor proprietario RSA con AES-256 e forte anti-analisi (hashing di API e stringhe, syscall dirette). Phishing come accesso iniziale, circa 100 vittime rivendicate.
Da settembre 2025 (nessun legame con l'exchange Coinbase), sola esfiltrazione. Accesso da credenziali rubate via infostealer, leak progressivi e aste. Oltre 160 vittime rivendicate.
Dal dicembre 2024, unisce doppia estorsione a una modalità «wipe» distruttiva (raro caso di encryptor più wiper). Spear-phishing, split affiliati flessibili (80/20, 60/40, 50/50).
Dal 2025, colpisce sanità, telco e manifatturiero (Giappone, Italia, Stati Uniti, Giordania). Riscatto da 100 milioni richiesto a un ospedale giapponese. Struttura RaaS o chiusa non confermata.
Ex «Alpha/DGJT», leak site attivo dal 2026. Monetizza accessi a dispositivi perimetrali esposti (Fortinet, Cisco, Citrix, Palo Alto). Molte rivendicazioni non verificabili.
Da ottobre 2025 (poi rebrand «Shisa» nel 2026). Abuso di account validi su RDP e VPN senza MFA, cifratura intermittente per velocità. Leak site con countdown, circa 50 vittime.
Dal 2026, codice derivato da Babuk, multipiattaforma Windows ed ESXi. 12 vittime rivendicate al lancio in sette Paesi. Dettaglio pubblico ancora limitato.
Nuovo attore emerso nel 2026, piccolo leak site (energia, farmaceutico) tra Francia, Romania e Thailandia. Natura di ransomware con cifratura non ancora confermata.
Recluta da fine 2025, malware in C++ multi-OS (Windows, Linux, ESXi). Difetto critico noto: i file oltre 128 KB vengono distrutti invece che cifrati. Legami con BreachForums e TeamPCP.
Lignaggi e rebrand rilevanti: World Leaks è il rebrand di Hunters International, INC Ransom è considerato l'origine di Lynx, Nova è il rebrand di RALord, Tengu è diventato «Shisa», DragonForce ha assorbito gli affiliati di RansomHub.
Conoscere il gruppo è il primo atto. Fermarlo in tempo è il secondo: intervento se l'attacco è in corso, protezione perché non accada.
Hotline IR 24·7·365: risposta operativa in 30 min, contenimento mediano <30 min, supporto alla notifica CSIRT entro 24 ore NIS2.
Attiva l'Emergenza →Le azioni dei primi minuti: isolare senza spegnere, non pagare d'impulso, attivare l'incident response, preservare le evidenze.
Guida d'emergenza →Il SOC intercetta l'attaccante nelle prime quattro fasi, nei 21 giorni di dwell time, prima che tocchi dati o backup.
Scopri la protezione →Tra i più attivi contro l'Europa: LockBit 5.0, Akira, Qilin, DragonForce, INC Ransom, SafePay, Anubis, Medusa e i molti gruppi emersi nel 2025 e 2026 (TheGentlemen, NightSpire, PayoutsKing, Coinbase Cartel, Tengu, Vect). Le loro TTP sono integrate nelle regole di detection del SOC.
Doppia estorsione: i dati vengono prima esfiltrati e poi cifrati, così il ripristino da backup non basta a evitare la pubblicazione. Tripla estorsione: si aggiunge una terza leva (DDoS, contatto diretto a clienti o dipendenti, denuncia al regolatore). Diversi gruppi recenti rinunciano del tutto alla cifratura.
Combinando TTP osservate sul campo negli incidenti, monitoraggio dei leak site e delle infrastrutture C2, e feed di threat intelligence. Quando interveniamo su un incidente, sappiamo già chi è l'attaccante e come opera, non improvvisiamo.
Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo. Conoscere · Anticipare · Fermare.
Un threat briefing Fortgale mette a fuoco i gruppi ransomware attivi contro la vostra industria e le vostre esposizioni: accessi esposti, CVE non patchate, credenziali già in vendita. Parlate con i nostri analisti.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.