Il panorama del cyber crimine è in continua evoluzione e i protagonisti degli attacchi cyber riescono a guadagnarsi il palcoscenico a seconda dell’efficacia delle loro azioni. Il report pubblicato in questa settimane da Group-IB mette a fuoco lo scenario in cui si muove la criminalità informatica e tratteggia le caratteristiche di più pericolosi gruppi attivi online.
Un quadro che, per le aziende, è sempre più preoccupante e che sembra caratterizzarsi per una sempre maggiore ibridazione tra minacce dirette al mondo consumer e business da una parte, tra settore pubblico e privato dall’altro.
L’evoluzione delle tecniche di attacco dei cyber criminali, però, non segue sviluppi lineari e il panorama tracciato dagli esperti di sicurezza dell’azienda con sede a Singapore ne è la dimostrazione.
Indice degli argomenti
Gruppi state sponsored: le Advanced Persistent Threat
Lo scenario geopolitico, caratterizzato da una tensione sempre più alta e dai conflitti che agitano Europa e Medioriente, ha una serie di ripercussioni anche a livello cyber. L’attività dei gruppi hacker legati a organizzazioni governative, denominati comunemente come Advanced Persistent Threat (APT), è in costante aumento così come è in crescita il livello di complessità delle tecniche di attacco che utilizzano.
Secondo quanto riporta Group-IB, gli attacchi dei gruppi APT si concentrano nei confronti del settore governativo e militare (31,4%) coinvolgendo in maniera minore ambiti come l’istruzione, i servizi finanziari e i trasporti.
Dark Pink
Sebbene gli esperti di cyber security non abbiano ancora determinato un collegamento preciso con un governo specifico, Dark Pink si è distinto nel corso del 2024 per una serie di attacchi che hanno sfruttato tecniche estremamente evolute, prendendo di mira principalmente reti legate a organizzazioni governative e militari.
In particolare, il modus operandi di Dark Pink ha suscitato un certo interesse da parte degli analisti per la scelta di sfruttare Slack come strumento di esfiltrazione dei dati sottratti alle vittime.
Cloud Atlas
Tra i gruppi ATP più longevi (le prime segnalazioni risalgono al 2014) Cloud Atlas sfrutta intensamente tecniche di phishing mirate per colpire infrastrutture critiche in scenari caratterizzati da tensioni internazionali e conflitti.
Probabilmente collegato a un governo occidentale, il gruppo è attivo soprattutto in Russia e ha sfruttato a lungo strumenti di attacco con caratteristiche estremamente particolari, tra cui backdoor modulari e malware polimorfici.
Secondo quanto riportano gli esperti di IB-Group, le nuove strategie utilizzate dal gruppo puntano prevalentemente alla compromissione di dispositivi mobili con sistemi Android e iOS.
Lazarus
Tra i gruppi APT più conosciuti, Lazarus rappresenta una vera anomalia nel settore. Assunti all’onore delle cronache per una serie di attacchi clamorosi che hanno interessato anche Sony, gli hacker legati al governo della Corea del Nord hanno recentemente orientato il loro interesse verso il mondo delle criptovalute.
Stando a quanto riporta l’FBI, Lazarus sarebbe infatti responsabile del più clamoroso furto registrato nel 2024 ai danni di Bybit, con un bottino stimato in 1,46 miliardi di dollari. L’episodio, però, è solo la punta dell’iceberg di un’attività che, secondo i ricercatori, avrebbe consentito a Pyongyang di incamerare una quantità impressionante di criptovalute.
Insomma: qualcosa di ben distante dal classico modus operandi dei gruppi APT, normalmente interessati al furto di informazioni strategiche o segreti industriali.
La minaccia del ransomware
Nel report pubblicato da Group-IB si legge che “il ransomware continua a essere una delle minacce informatiche più pervasive, con il modello Ransomware-as-a-Service (RaaS) che ne alimenta la rapida espansione attraverso le reti di affiliati. Gli operatori di ransomware hanno affinato i loro metodi concentrandosi non solo sulla crittografia, ma anche sull’esfiltrazione dei dati”.
Proprio il numero di gang cyber criminali che focalizzano la loro attività su forme di estorsione legate esclusivamente all’esfiltrazione dei dati è uno degli elementi di massima attenzione per gli esperti di sicurezza.
Nessun blocco dei sistemi attraverso i classici ransomware, ma il “semplice” furto di informazioni seguito dalla minaccia della pubblicazione.
Ransomhub
In seguito alla serie di operazioni che hanno (quasi) cancellato la rete criminale gestita dal gruppo Lockbit, tra i pretendenti al trono nel settore dei ransomware c’è Ransomhub. Il gruppo, che adotta il modello del Ransomware-as-a-Service, ha già dimostrato di essere estremamente attivo nel corso del 2024 e nei primi mesi del 2025, mettendo a segno quasi 800 attacchi in soli 18 mesi. Di questi, 23 hanno preso di mira organizzazioni italiane.
Gli affiliati di Ransomhub utilizzano la tecnica della doppia estorsione: oltre alla crittografia dei sistemi informatici della vittima, sottraggono i dati dai server colpiti per poi minacciarne la diffusione.
ALPHV
Il gruppo ALPHV (conosciuto anche come BlackCat) sembra aver intrapreso un percorso inverso rispetto ad altri attori dediti al ransomware. Dopo una raffica di attacchi (ben 416) nel corso del 2023, il gruppo si è concentrato su attacchi mirati particolarmente clamorosi che hanno preso di mira, in particolare, il settore sanitario.
Nel report viene evidenziato il caso Change Healthcare, che si stima abbia portato a un impatto finanziario di 2,87 miliari di dollari.
Nel corso del 2025, ALPHV non ha ancora rivendicato alcun attacco, ma l’esperienza insegna che può semplicemente trattarsi della classica calma prima della tempesta.
Eldorado
Tra i nuovi protagonisti del settore, adotta un sistema di reclutamento degli affiliati particolarmente rigoroso, privilegiando soggetti con capacità di pentesting e competenze specifiche. Secondo quanto ricostruito dagli esperti di Group-IB, che sono stati in grado di infiltrare il gruppo, adotta strategie differenziate e una elevata personalizzazione degli strumenti di attacco.
Il gruppo possiede due versioni diverse del malware, una per Windows e una per Linux. Le analisi hanno anche evidenziato la capacità di crittografare i file su reti condivise utilizzando il protocollo Server Message Block (SMB) e di includere parametri chiave come le reti di destinazione, i nomi delle aziende, il contenuto della nota di riscatto e le credenziali dell’amministratore.
Hacktivism: cos’è e come funziona
Il fenomeno del cyber-attivismo ha caratteristiche particolari e si differenzia in maniera sostanziale dal crimine informatico tradizionale.
Nella maggior parte dei casi, i gruppi che operano con motivazioni politiche utilizzano strumenti piuttosto semplici e prediligono azioni dimostrative come il defacement dei siti Web o gli attacchi DDoS (Distributed Denial of Service) per mettere sotto pressione le loro vittime.
NoName057
Il gruppo di hacktivisti è conosciuto principalmente per i suoi attacchi DDoS, che si basano su tecniche di crowdsourcing. Prende di mira principalmente istituzioni governative e finanziarie, con attacchi meno frequenti ai settori della sanità e dell’energia.
Si tratta di un gruppo filorusso, che si è reso protagonista di numerosi attacchi nei confronti di organizzazioni e istituzioni italiane.
Come altri hacktivisti, NoName057 utilizza dei canali di comunicazione pubblici, come Telegram, sia per organizzare i suoi attacchi che per rivendicarli.
DarkStorm Team
Emerso nell’agosto 2023, il gruppo DarkStorm Team ha posizioni filopalestinesi e le sue azioni prendono di mira principalmente Israele. Oltre a numerosi attacchi DDoS, ha rivendicato nei mesi scorsi alcuni defacement e una serie di intrusioni e leak di informazioni sensibili.
Stando al report di Group-IB, un messaggio sul canale Telegram utilizzato da DarkStorm Team indicherebbe che il gruppo sia disponibile a offrire i suoi servizi anche a pagamento.
Un’anomalia quasi unica in un settore, quello dell’hacktivism, che solitamente non prevede attività “mercenarie”.
