Tre importanti gruppi di ransomware – DragonForce, Qilin e LockBit– hanno annunciato un’alleanza. Si tratta essenzialmente di un tentativo di coordinare le attività di diversi importanti operatori RaaS (ransomware-as-a-service); gli analisti avvertono che tale consolidamento potrebbe aumentare la portata e l’efficacia degli attacchi.
DragonForce ha avviato la fusione. All’inizio di settembre, quasi contemporaneamente al rilascio di LockBit 5.0, i rappresentanti di DragonForce hanno proposto pubblicamente ai “colleghi” di porre fine alle loro liti interne e di concordare “regole di mercato”:parità di condizioni, cessazione degli insulti pubblici e supporto reciproco.
LockBit ha risposto positivamente e DragonForce ha successivamente annunciato ufficialmente l’alleanza tra le tre bande, invitando altri team di ransomware a unirsi a loro.
Advertising
Gli analisti vedono questo come un segnale di una tendenza pericolosa. Un rapporto di ReliaQuest per il terzo trimestre del 2025 ha osservato che la fusione potrebbe portare a campagne più frequenti e coordinate e a una più ampia diffusione degli attacchi, comprese le infrastrutture critiche.
È possibile che l’alleanza possa aiutare LockBit a riprendersi da un importante attacco delle forze dell’ordine nel 2024. Poi, a febbraio, operazioni internazionali hanno portato al sequestro di server, nomi di dominio e chiavi di decrittazione; a maggio, gli investigatori hanno anche collegato il gruppo a un individuo specifico, Dmitry Yuryevich Khoroshev, che tuttavia è ancora in libertà. Queste azioni hanno minato la fiducia degli affiliati e molti ex partner di LockBit sono passati ad altri gruppi.
È importante sottolineare che non è stata ancora creata un’infrastruttura di alleanza unificata: non è emerso alcun sito web comune per il data dumping o un singolo portale di fuga di dati, e ogni gang continua a rivendicare la responsabilità delle proprie operazioni.
Qilin, ad esempio, ha annunciato pubblicamente l’attacco ad Asahi Beer, mentre LockBit e DragonForce continuano a pubblicare i propri attacchi separatamente. Ciononostante, la condivisione di competenze e risorse, dagli strumenti ai database dei clienti, di per sé amplia le capacità dei criminali.
Di particolare preoccupazione è il cambiamento nella retorica di LockBit dopo il rilascio della versione 5.0: nella sua documentazione, il gruppo ha eliminato i precedenti tabù e ha dichiarato esplicitamente che gli attacchi alle infrastrutture critiche (centrali elettriche e strutture simili) sono ora consentiti, a meno che non venga raggiunto un accordo separato con l’FBI. Ciò significa che, almeno apparentemente, gli operatori ora considerano accettabile attaccare settori che in precedenza evitavano.
Advertising
Nel frattempo, si sta sviluppando anche un gruppo di hacker di lingua inglese:Scattered Spider, ShinyHunters e Lapsus$ hanno annunciato una nuova coalizione chiamata Scattered Lapsus$ Hunters e hanno lanciato un proprio sito di leak, che ha già pubblicato dati su diverse aziende.
ReliaQuest avverte che questo gruppo potrebbe evolversi in un fornitore di RaaS, combinando competenze di ingegneria sociale con tecnologie di crittografia.
I ricercatori valutano l’emergere di tali alleanze come una transizione verso una nuova fase dell’economia criminale: invece di una concorrenza frammentata, i gruppi di ransomware stanno iniziando a costruire legami “commerciali” stabili, condividendo codice, infrastrutture e canali di distribuzione dei dati. Questo rende gli attacchi più diffusi e difficili da fermare, poiché le risorse, le dimensioni e la professionalità dei criminali aumentano simultaneamente.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"
Aree di competenza:Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.