Cyber Threat Intelligence · Ransomware · 24·7·365

I gruppi ransomware che colpiscono l'Europa.

Un attacco non è un evento. È qualcuno. Il SOC italiano Fortgale traccia 287 tra gruppi avversari e strumenti d'attacco: queste sono le schede dei gruppi ransomware più attivi, con alias, tecniche di accesso, CVE sfruttate e modello di estorsione. Quando interveniamo, sappiamo già chi è e come opera.

27Gruppi in scheda
287Avversari e strumenti tracciati
24·7SOC italiano
Fonti · intelligence
TTP osservate sul campo
Leak site monitoring
Infrastrutture C2
MITRE ATT&CK
Standard SOC
ISO 27001
STIX/TAXII
ISO 9001
Perché una scheda per gruppo

Non «attaccanti sofisticati». Un nome, una tecnica.

La differenza tra rilevare e subire è conoscere l'avversario prima che agisca. Ogni scheda raccoglie ciò che serve al triage: lignaggio e rebrand, tecniche di accesso iniziale, CVE realmente sfruttate, modello di estorsione. Le TTP di questi gruppi sono integrate nelle regole di detection del SOC.

Threat intelligence · gruppi tracciati

Ventisette gruppi ransomware, una scheda ciascuno.

Profili costruiti su tecniche osservate sul campo e su monitoraggio delle infrastrutture di leak. Dove il dato pubblico è ancora sottile, la scheda lo dichiara: non inventiamo numeri.

RaaS · rilancio 2025

LockBit 5.0

Rilancio di LockBit (settembre 2025) dopo Operation Cronos. Encryptor multipiattaforma (Windows, Linux, ESXi, Proxmox), AES-256-CTR con RSA-2048, evasione avanzata (process hollowing, ETW patching, pulizia dei log). Doppia estorsione.

RaaS · lignaggio Conti

Akira

Attivo dal 2023, tra i più redditizi nel 2025. Accesso via VPN senza MFA e firewall non patchati: CVE-2024-40766 (SonicWall), CVE-2023-20269 (Cisco ASA), CVE-2024-37085 (VMware ESXi), CVE-2024-40711 (Veeam). Doppia estorsione.

RaaS · alto volume

Qilin

Ex Agenda (2022), oltre mille vittime sul leak site a fine 2025, manifatturiero in testa. Accesso via phishing e applicazioni esposte, Cobalt Strike, Rclone per l'esfiltrazione. Esfiltra, poi cifra.

RaaS · cartel

DragonForce

Dal 2023, si dichiara «cartel» nel marzo 2025 e assorbe affiliati di RansomHub dopo il crollo di aprile 2025. Sfrutta la catena Ivanti (CVE-2024-21887, CVE-2024-21893) e Log4Shell (CVE-2021-44228). Modello in licenza white label, estorsione ibrida.

RaaS · dal 2023

INC Ransom

Codice sorgente ceduto (luglio 2024) agli operatori di Lynx, considerato suo successore. Impersonificazione di staff IT, abuso di strumenti legittimi. Doppia estorsione con leak site.

Estorsione · rebrand

World Leaks

Rebranding (gennaio 2025) di Hunters International: abbandona la cifratura per la sola esfiltrazione (Extortion as a Service). Strumenti custom di furto dati distribuiti agli affiliati.

Estorsione · ex-LockBit

Bashe (APT73)

Emerso nel 2024 come APT73 (poi Eraleig, quindi Bashe). Leak site che imita la grafica di LockBit. Origine probabile da un ex affiliato LockBit dopo la disruption del 2024.

RaaS · 2025

TheGentlemen

Dal 2025, forte sfruttamento Fortinet (CVE-2024-55591). Tecniche living off the land (AnyDesk, PsExec, PowerShell), propagazione via Group Policy, evasione custom. Doppia estorsione.

Gruppo chiuso · 2025

DeadLock

Dal 2025, BYOVD per disattivare l'EDR (CVE-2024-51324, driver Baidu), rotazione dei proxy via smart contract Polygon, comunicazioni su Session. Circa il 57% delle vittime in area Europa e Russia.

RaaS · hacktivismo

Stormous

Attivo dal 2022, pro-Russia, parte delle «Five Families» e legato a Dragon RaaS. Spear-phishing, sfruttamento di VPN e RDP esposti, brute-force. Doppia estorsione a movente politico.

Gruppo chiuso · 2024

SafePay

Dal settembre 2024, non è RaaS. Accesso via credenziali valide e dispositivi edge (VPN, firewall, RD Gateway), cifratura ChaCha20, catena a volte sotto le 24 ore. Bersaglio: PMI e MSP.

Estorsione · 2025

NightSpire

Dal marzo 2025 (successore di Rbfs), sfrutta Fortinet CVE-2024-55591, mira alle PMI con scadenze di due giorni. Esfiltrazione via Rclone e MEGA, poi cifratura AES-256 con RSA-2048.

Doppia estorsione · 2024

Space Bears

Dal 2024, legato all'infrastruttura Phobos. Leak site dall'estetica «corporate». Colpisce PMI di manifatturiero, tecnologia e sanità tra Stati Uniti ed Europa.

RaaS · rebrand RALord

Nova

Rebranding (aprile 2025) di RALord. Encryptor in Rust, negoziazione via qTox. Dichiara di non colpire scuole e organizzazioni non profit. Doppia estorsione.

Estorsione · leak site

Titan

Brand di estorsione con rivendicazioni nel 2026, tracciato dagli aggregatori. Pubblica campioni di dati (buste paga, documenti). Dettaglio tecnico pubblico ancora limitato.

Doppia estorsione · 2026

M3rx

Emerso nel 2026, encryptor in Go (scambio chiavi X25519, AES-CTR e AES-GCM), auto-cancellazione via PowerShell. Prime vittime concentrate in IT e MSP, contatto via Tox.

RaaS · dal 2019

MedusaLocker

Distribuito da affiliati dal 2019 (da non confondere con «Medusa» del 2021). Accesso via brute-force RDP e credenziali trafugate, propagazione RDP, PsExec, SMB. Doppia estorsione.

Estorsione · dal 2020

Everest

Dal 2020, in transizione dalla cifratura alla sola esfiltrazione e al brokeraggio di accessi. Oltre 120 vittime in ambito sanitario, con avvisi dedicati negli Stati Uniti.

Gruppo chiuso · 2025

PayoutsKing

Da luglio 2025, encryptor proprietario RSA con AES-256 e forte anti-analisi (hashing di API e stringhe, syscall dirette). Phishing come accesso iniziale, circa 100 vittime rivendicate.

Estorsione · 2025

Coinbase Cartel

Da settembre 2025 (nessun legame con l'exchange Coinbase), sola esfiltrazione. Accesso da credenziali rubate via infostealer, leak progressivi e aste. Oltre 160 vittime rivendicate.

RaaS · 2024

Anubis

Dal dicembre 2024, unisce doppia estorsione a una modalità «wipe» distruttiva (raro caso di encryptor più wiper). Spear-phishing, split affiliati flessibili (80/20, 60/40, 50/50).

Estorsione · 2025

NetRunner

Dal 2025, colpisce sanità, telco e manifatturiero (Giappone, Italia, Stati Uniti, Giordania). Riscatto da 100 milioni richiesto a un ospedale giapponese. Struttura RaaS o chiusa non confermata.

IAB e estorsione · 2026

ALP-001

Ex «Alpha/DGJT», leak site attivo dal 2026. Monetizza accessi a dispositivi perimetrali esposti (Fortinet, Cisco, Citrix, Palo Alto). Molte rivendicazioni non verificabili.

RaaS · 2025

Tengu

Da ottobre 2025 (poi rebrand «Shisa» nel 2026). Abuso di account validi su RDP e VPN senza MFA, cifratura intermittente per velocità. Leak site con countdown, circa 50 vittime.

Doppia estorsione · 2026

Payload

Dal 2026, codice derivato da Babuk, multipiattaforma Windows ed ESXi. 12 vittime rivendicate al lancio in sette Paesi. Dettaglio pubblico ancora limitato.

Estorsione · 2026

Lamashtu

Nuovo attore emerso nel 2026, piccolo leak site (energia, farmaceutico) tra Francia, Romania e Thailandia. Natura di ransomware con cifratura non ancora confermata.

RaaS · 2026

Vect

Recluta da fine 2025, malware in C++ multi-OS (Windows, Linux, ESXi). Difetto critico noto: i file oltre 128 KB vengono distrutti invece che cifrati. Legami con BreachForums e TeamPCP.

Lignaggi e rebrand rilevanti: World Leaks è il rebrand di Hunters International, INC Ransom è considerato l'origine di Lynx, Nova è il rebrand di RALord, Tengu è diventato «Shisa», DragonForce ha assorbito gli affiliati di RansomHub.

FAQ · gruppi ransomware

Le domande che precedono il triage.

Quali sono i gruppi ransomware più attivi oggi?

Tra i più attivi contro l'Europa: LockBit 5.0, Akira, Qilin, DragonForce, INC Ransom, SafePay, Anubis, Medusa e i molti gruppi emersi nel 2025 e 2026 (TheGentlemen, NightSpire, PayoutsKing, Coinbase Cartel, Tengu, Vect). Le loro TTP sono integrate nelle regole di detection del SOC.

Cosa significano doppia e tripla estorsione?

Doppia estorsione: i dati vengono prima esfiltrati e poi cifrati, così il ripristino da backup non basta a evitare la pubblicazione. Tripla estorsione: si aggiunge una terza leva (DDoS, contatto diretto a clienti o dipendenti, denuncia al regolatore). Diversi gruppi recenti rinunciano del tutto alla cifratura.

Come traccia Fortgale questi gruppi?

Combinando TTP osservate sul campo negli incidenti, monitoraggio dei leak site e delle infrastrutture C2, e feed di threat intelligence. Quando interveniamo su un incidente, sappiamo già chi è l'attaccante e come opera, non improvvisiamo.

Conoscere l'avversario è il primo atto della difesa. Fermarlo in tempo è il secondo. Conoscere · Anticipare · Fermare.

Threat briefing sul vostro settore

Sapete quali di questi gruppi guardano al vostro settore?

Un threat briefing Fortgale mette a fuoco i gruppi ransomware attivi contro la vostra industria e le vostre esposizioni: accessi esposti, CVE non patchate, credenziali già in vendita. Parlate con i nostri analisti.

Tempo di risposta: < 1 giorno lavorativo.