Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Siamo quasi abituati a leggere che i nuovi gruppi ransomware annunciano aperture continue: nuovi pannelli, build facili e percentuali alte per gli affiliati. Sembrava che per loro fosse l’unico modo per crescere.
Un segnale diverso è quello che il gruppo Anubis ha fatto con il post che ha pubblicato “Pulizia generale prima dell’aggiornamento”, invece di espandersi scelgono di fare ordine dentro casa.
Anubis ransomware è comparso verso la fine del 2024 attirando l’attenzione per il suo approccio ibrido. Oltre alle classiche tecniche di esfiltrazione dei dati e richiesta di riscatto, il gruppo integra un modulo wiper in grado di cancellare i file in modo permanente.
Nel tempo il gruppo ha inoltre sperimentato diversi modelli di monetizzazione paralleli. Questa volta però ha scelto di non parlare di sé per nuovi attacchi o vittime, ma ha diffuso un messaggio dal tono decisamente più interno, quasi una comunicazione di carattere operativo rivolta alla propria organizzazione.
La traduzione completa del post:
Pulizia generale prima dell’aggiornamento
Tutti gli account inattivi sono stati disattivati. I contatti sono stati eliminati.
Nella rete rimangono solo coloro che effettuano realmente compromissioni e condividono con noi i profitti. Se siete stati rimossi per errore, contattatemi e ripristinerò l’accesso.
RaaS: accesso chiuso
Interrompiamo completamente l’accettazione di nuovi membri e la distribuzione di pannelli e build.
Il reclutamento è ufficialmente terminato.
Sono previste due eccezioni: un caso particolarmente importante e redditizio oppure obiettivi in grado di garantire un flusso consistente e sistematico proveniente dai tradizionali bersagli del ransomware.
Data-Ransom: soglia d’ingresso aumentata
Accettiamo casi con ricavi a partire da 150.000 dollari e con obiettivi di primo livello.
Eccezione: dati particolarmente sensibili.
Gestione degli accessi forniti da voi
Saranno presi in considerazione solo accessi validi con ricavi a partire da 30.000 dollari e obiettivi di alto livello.
Per i nuovi fornitori, gli accessi verranno sottoposti a verifica preventiva.
Non abbiamo mai puntato al monopolio.
Il nostro obiettivo non è la quantità, ma la qualità e la precisione nella gestione di ogni singolo caso,
sia esso nostro o dei nostri partner.
Per gli affiliati già attivi, la moderazione manuale nella distribuzione delle build rimarrà in vigore fino al primo pagamento.
La qualità ama la discrezione. Buona fortuna a tutti. Continuiamo a lavorare.
Si tratta di un messaggio chiaro: stanno facendo pulizia, confermano di avere disattivato gli account inattivi e che molti contatti sono stati rimossi. Possono rimanere soltanto gli affiliati che rispecchiano i nuovi skills richiesti come: contribuire concretamente alle operazioni e rispettare puntualmente i pagamenti richiesti.
In sostanza la decisione è quella di chiudere le porte a nuovi reclutamenti ma facendo eccezione per rari casi legati a collaboratori di lunga data e che hanno dimostrato di essere in grado di garantire un flusso costante di obiettivi ad alto valore. Le operazioni di estorsione sui dati (Data-Ransom) vengono accettate solo in casi con potenziale ritorno economico e scegliendo aree geografiche dove le vittime pagano di più.
Il gruppo sostiene di non puntare alla crescita a ogni costo, ma alla qualità (sia interna sia condotta dagli affiliati). Chi si trova già nel programma la revisione manuale delle build resterà attiva fino al primo pagamento. “La qualità ama il silenzio” con questa frase racchiude un messaggio quasi poetico me che presenta un modo per dire: che le attività continuano, con un approccio più selettivo, controllato e discreto.
Perché questa scelta ? Dopo la prima fase, in cui serve volume per testare il malware e attrarre l’attenzione verso nuovi partner il “rumore” continuo può diventare un rischio. Più sono gli affiliati e più diventa alta la probabilità di errori, operazioni fallite o addirittura aumento di casi di indagini. Con il wiper che è decisamente la leva aggiuntiva: distruzione permanente dei dati, Anubis può permettersi di essere più esigente, pochi attacchi mirati, ben gestiti e su target che valgono davvero la sforzo.
Alzare le soglie e concentrarsi su organizzazioni più grandi e/o più esposte, garantendo un riscatto più alto. Meno partner, vuol dire anche meno vettori di fuga di informazioni e soprattutto meno attenzione indesiderata.
Questo è anche un segnale è pratico per chi difende le organizzazioni. Probabilmente vuol dire meno attacchi da questo gruppo, ma più mirati su target con dati sensibili e capacità alta di pagamento. In un ambiente dove spesso il clamore sembra premiare Anubis sta diventando più selettivo su dove e come operare .
Non sappiamo se manterranno questa promessa ma questa rimane la prova che anche nell’underground valgono logiche molto terrene: a un certo punto, per non implodere, è necessario fare ordine, scegliere con chi lavorare e concentrarsi su ciò che produce risultati concreti.
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]