Italia 4° Paese più colpito al mondo. Fortgale identifica l'attaccante nelle prime fasi — accesso iniziale, escalation, ricognizione, movimento laterale — prima che tocchi dati o backup. ~11 minuti contenimento mediano.
Quando l'attaccante arriva al backup la cifratura è già imminente. Il SOC Fortgale lo intercetta 21 giorni prima, nelle fasi iniziali di accesso — quando è ancora rumoroso, visibile, contenibile.
Il SOC interviene nelle prime quattro fasi della kill chain — accesso iniziale, escalation, ricognizione, movimento laterale — durante i 21 giorni di dwell time medio. Detection comportamentale MITRE ATT&CK, prima che l'attaccante tocchi dati o backup.
Monitoraggio infrastrutture C2 di LockBit, RansomHub, Play, Akira, Black Basta, Cl0p, Medusa, Qilin, BlackCat. Quando un gruppo prepara una campagna, Fortgale lo sa prima.
SIEM/EDR generano migliaia di alert/giorno; senza analisti specializzati sono solo rumore. Fortgale conosce le TTP specifiche dei gruppi che colpiscono l'Italia e riconosce un accesso iniziale prima che diventi compromissione.
Il ransomware non è un'esplosione: è un'operazione lunga 21 giorni. Il SOC Fortgale opera nelle prime quattro fasi, dove l'attaccante è ancora visibile e contenibile. Esfiltrazione e cifratura non arrivano se l'intercettazione è avvenuta a monte.
Phishing, VPN/RDP esposti, credenziali rubate, vulnerabilità note. Fortgale rileva: login anomali, geo-velocity impossibili, IOC dark web, traffico verso C2 noti.
Kerberoasting, abuse di service account, AD-CS exploitation. Fortgale rileva: pattern UEBA, anomalie su ticket Kerberos, escalation Domain Admin fuori baseline.
Mapping di rete, asset critici, file server, backup, AD. Fortgale rileva: enumerazione SMB anomala, query LDAP massive, scansioni interne fuori orario.
Pass-the-Hash, RDP laterale, abuso di PsExec verso DC/ESXi/backup. Fortgale isola qui: host isolato in ~8 s, contenimento mediano ~11 min. L'attacco si ferma.
Doppia estorsione: dati riservati, contratti, IP, email pubblicati su leak site. Non avviene se Fortgale è intervenuto nelle fasi 1-4.
Stadio finale: cifratura massiva, fermo produzione, richiesta di riscatto. Non avviene se Fortgale è intervenuto nelle fasi 1-4.
Ogni gruppo in questa lista ha colpito clienti italiani negli ultimi 24 mesi. Le TTP sono integrate nelle regole di detection del SOC.
RaaS più attivo contro l'Italia. Doppia estorsione, exploit VPN/RDP, lateral movement aggressivo.
RaaS dal 2024. 9,8% globale. Targeting infrastrutture critiche, sanità, finanza, governo.
Closed group, no negoziazione pubblica. Targeting manifatturiero, governo, trasporti, legal.
Doppia estorsione, ransomware Linux + Windows + ESXi. Targeting PMI, istruzione, hospitality.
Eredi di Conti. QakBot distributor. Targeting sanità, manifatturiero, costruzioni, finanza.
Zero-day specialist: MOVEit, GoAnywhere, Accellion. Supply chain attacks su finanza, sanità, legal.
Blog pubblico con countdown. Targeting istruzione, PA, manifatturiero, sanità.
Go & Rust, VMware ESXi. Targeting sanità, infrastrutture critiche, manifatturiero.
Phobos-based. Targeting PMI, costruzioni, retail, trasporti.
Ex-Hive members. Data-theft focus: manifatturiero, finanza, logistica.
Aste pubbliche di dati. Targeting PA, sanità, istruzione, difesa.
Rust-based. Triple extortion (cifratura + leak + DDoS). Sanità, energia, manifatturiero, finance.
Monitoraggio dei gruppi attivi contro l'Italia con feed IOC, TTP MITRE-mapped, early-warning su nuove campagne. Distribuito al SIEM via STIX/TAXII.
Rilevamento comportamentale sulle prime quattro fasi della kill chain: accesso anomalo, escalation privilegi, ricognizione interna, lateral movement. Signature Mimikatz/Cobalt Strike, pattern UEBA, IOC dark web.
Isolamento host ~8 s, contenimento mediano ~11 min. Response cross-tool (EDR, firewall, IAM), escalation diretta al CISO, supporto alla notifica CSIRT entro 24 ore NIS2.
Forensics chain-of-custody, eradicazione, ripristino, supporto a notifica ACN (NIS2 24h) e Garante (GDPR 72h), comunicazione board e legal.
Il SOC italiano che orchestra il monitoraggio, il triage e la risposta a tutti i gruppi ransomware attivi contro l'Italia.
Scopri il SOC →EDR/XDR governato dal SOC italiano. Triage in <15 min. Estende la detection al ransomware oltre l'antivirus tradizionale.
Scopri MDR →Feed proprietari sui 12 gruppi ransomware attivi. Early-warning quando una campagna prepara il vostro settore.
Scopri CTI →Phishing (email allegati/link), VPN/RDP mal configurati, vulnerabilità non patchate, supply chain software. Il 70% sfrutta credenziali rubate o accessi remoti esposti. Tutti i vettori lasciano tracce rilevabili.
No. I gruppi moderni (LockBit 3.0, RansomHub) attaccano i backup prima della cifratura. La doppia estorsione rende il ripristino irrilevante se i dati sono già esfiltrati. Servono backup immutabili air-gapped + sistema di rilevamento precoce.
Nelle prime quattro fasi: accesso iniziale, escalation privilegi, ricognizione interna, movimento laterale. È qui — nei 21 giorni medi di dwell time prima della cifratura — che l'attaccante è ancora visibile e contenibile. Quando Fortgale interviene a monte, esfiltrazione e cifratura non avvengono.
Isolare immediatamente (cavi, WiFi off) ma NON spegnere i dispositivi (perdono tracce forensi memoria). Non pagate prima di valutazione. Contattate IR. Fortgale 24·7: +39 02 8969 2266. Soggetti NIS2/DORA: notifica ACN 24h.
Manifatturiero 32,5%, Consulenza 9%, IT 7,5%, Trasporti 7,5%, Costruzioni 6,5%. Geo: Lombardia 30,9%, Emilia-Romagna 15,4%, Veneto 8,8%. Nessuno troppo piccolo per essere bersaglio.
Dipende. GDPR violazione dati personali → Garante 72h. NIS2 → ACN 24h preavviso. Le due possono coesistere. Fortgale supporta l'intero processo post-incidente incluse le notifiche autorità.
Profilo, TTP, leak site, infrastruttura, modalità di negoziazione: ricerca verticale sulle gang attive contro l'Europa. Quando interveniamo su un incidente, sappiamo già chi è e cosa fa — non improvvisiamo.
Intelligence · Phishing Kit · Q1 2026 April 24, 2026Fortgale CTI14 min readRPT-26-0424 Observation of the quarter The 2026 phishing ecosystem has outpaced tradition…
Leggi articolo →
In the high-stakes world of venture capital and corporate funding, where millions hang in the balance and sensitive financial data flows freely, a new breed of cyber threat is em…
Leggi articolo →
In February 2026, the Fortgale Incident Response team investigated a multi-stage intrusion attributed to Mora_001, a Russian-origin threat actor exploiting Fortinet vulnerabiliti…
Leggi articolo →
UPDATES: 27.11.2024: As mentioned by TrustWave, "Supercar Phishing Kit" has an high level of overlapping with the most recent update of "Rockstar 2FA Phishing-as-a-Service" 26.09…
Leggi articolo →
In the evolving landscape of cybersecurity threats, Fortgale is tracking PhishSurf Nebula, an advanced Cyber Espionage group active since 2021 and primarily targeting entities wi…
Leggi articolo →
Fortgale has been tracking an Italian Threat Actor, internally dubbed as Nebula Broker, since March 2022. The actor uses self-made malware (BrokerLoader) to compromise Italian sy…
Leggi articolo →Per 21 giorni in media l'attaccante mappa la rete, scala privilegi, si muove lateralmente — prima di cifrare. È la finestra in cui Fortgale interviene. Un assessment gratuito può rivelarvi se c'è già qualcuno nelle vostre prime fasi di compromissione.
Niente sequence di nurturing, niente auto-reply. Vi richiama un nostro analista entro un giorno lavorativo.
Il Report completo (executive summary · IoC operativi · runbook tecnico) è riservato. Inviaci due dettagli e un nostro analista ti ricontatta con l'accesso e un breve briefing tecnico.
Risposta in 30 minuti, contenimento in 1–4 ore. Anche se non sei cliente Fortgale.
