Siamo quasi abituati a leggere che i nuovi gruppi ransomware annunciano aperture continue: nuovi pannelli, build facili e percentuali alte per gli affiliati. Sembrava che per loro fosse l’unico modo per crescere.
Un segnale diverso è quello che il gruppo Anubis ha fatto con il post che ha pubblicato “Pulizia generale prima dell’aggiornamento”, invece di espandersi scelgono di fare ordine dentro casa.
Anubis ransomware è comparso verso la fine del 2024 attirando l’attenzione per il suo approccio ibrido. Oltre alle classiche tecniche di esfiltrazione dei dati e richiesta di riscatto, il gruppo integra un modulo wiper in grado di cancellare i file in modo permanente.
Advertising
Nel tempo il gruppo ha inoltre sperimentato diversi modelli di monetizzazione paralleli. Questa volta però ha scelto di non parlare di sé per nuovi attacchi o vittime, ma ha diffuso un messaggio dal tono decisamente più interno, quasi una comunicazione di carattere operativo rivolta alla propria organizzazione.
La traduzione completa del post:
Pulizia generale prima dell’aggiornamento Tutti gli account inattivi sono stati disattivati. I contatti sono stati eliminati. Nella rete rimangono solo coloro che effettuano realmente compromissioni e condividono con noi i profitti. Se siete stati rimossi per errore, contattatemi e ripristinerò l’accesso. RaaS: accesso chiuso Interrompiamo completamente l’accettazione di nuovi membri e la distribuzione di pannelli e build. Il reclutamento è ufficialmente terminato. Sono previste due eccezioni: un caso particolarmente importante e redditizio oppure obiettivi in grado di garantire un flusso consistente e sistematico proveniente dai tradizionali bersagli del ransomware. Data-Ransom: soglia d’ingresso aumentata Accettiamo casi con ricavi a partire da 150.000 dollari e con obiettivi di primo livello. Eccezione: dati particolarmente sensibili. Gestione degli accessi forniti da voi Saranno presi in considerazione solo accessi validi con ricavi a partire da 30.000 dollari e obiettivi di alto livello. Per i nuovi fornitori, gli accessi verranno sottoposti a verifica preventiva. Non abbiamo mai puntato al monopolio. Il nostro obiettivo non è la quantità, ma la qualità e la precisione nella gestione di ogni singolo caso, sia esso nostro o dei nostri partner. Per gli affiliati già attivi, la moderazione manuale nella distribuzione delle build rimarrà in vigore fino al primo pagamento. La qualità ama la discrezione. Buona fortuna a tutti. Continuiamo a lavorare.
Si tratta di un messaggio chiaro: stanno facendo pulizia, confermano di avere disattivato gli account inattivi e che molti contatti sono stati rimossi. Possono rimanere soltanto gli affiliati che rispecchiano i nuovi skills richiesti come: contribuire concretamente alle operazioni e rispettare puntualmente i pagamenti richiesti.
In sostanza la decisione è quella di chiudere le porte a nuovi reclutamenti ma facendo eccezione per rari casi legati a collaboratori di lunga data e che hanno dimostrato di essere in grado di garantire un flusso costante di obiettivi ad alto valore. Le operazioni di estorsione sui dati (Data-Ransom) vengono accettate solo in casi con potenziale ritorno economico e scegliendo aree geografiche dove le vittime pagano di più.
Advertising
Il gruppo sostiene di non puntare alla crescita a ogni costo, ma alla qualità (sia interna sia condotta dagli affiliati). Chi si trova già nel programma la revisione manuale delle build resterà attiva fino al primo pagamento. “La qualità ama il silenzio” con questa frase racchiude un messaggio quasi poetico me che presenta un modo per dire: che le attività continuano, con un approccio più selettivo, controllato e discreto.
Perché questa scelta ? Dopo la prima fase, in cui serve volume per testare il malware e attrarre l’attenzione verso nuovi partner il “rumore” continuo può diventare un rischio. Più sono gli affiliati e più diventa alta la probabilità di errori, operazioni fallite o addirittura aumento di casi di indagini. Con il wiper che è decisamente la leva aggiuntiva: distruzione permanente dei dati, Anubis può permettersi di essere più esigente, pochi attacchi mirati, ben gestiti e su target che valgono davvero la sforzo.
Alzare le soglie e concentrarsi su organizzazioni più grandi e/o più esposte, garantendo un riscatto più alto. Meno partner, vuol dire anche meno vettori di fuga di informazioni e soprattutto meno attenzione indesiderata.
Questo è anche un segnale è pratico per chi difende le organizzazioni. Probabilmente vuol dire meno attacchi da questo gruppo, ma più mirati su target con dati sensibili e capacità alta di pagamento. In un ambiente dove spesso il clamore sembra premiare Anubis sta diventando più selettivo su dove e come operare .
Non sappiamo se manterranno questa promessa ma questa rimane la prova che anche nell’underground valgono logiche molto terrene: a un certo punto, per non implodere, è necessario fare ordine, scegliere con chi lavorare e concentrarsi su ciò che produce risultati concreti.
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
Studente con una solida formazione in gestione delle minacce di sicurezza informatica, intelligenza artificiale, etica dell'AI e trasformazione digitale.
Attualmente impegnata in uno stage curriculare di 800 ore in Security Threat Management presso TIM, che è parte integrante del corso di formazione "Digital Transformation Specialist" presso l'ITS Agnesi a Roma.
Ho completato il corso di Dark Web - Threat Management e sono parte attiva del Team DarkLab di Red Hot Cyber.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.