Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Crazyhunter: il nuovo ransomware con il “Sistema di Annientamento Dati Tridimensionale”

Pietro Melillo : 10 Marzo 2025 12:52

Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un Data Leak Site di una cyber gang mai monitorata prima: Crazyhunter.

Con un’identità distinta e un manifesto che lo pone in contrasto con altri attori della scena cybercriminale, Crazyhunter si presenta come un’operazione sofisticata che punta sulla velocità di attacco, la distruzione dei dati e un sistema di branding criminale altamente strutturato.

Dalle informazioni raccolte sul loro Data Leak Site (DLS), disponibile nella rete Tor, il gruppo sembra adottare un approccio metodico e aggressivo, mirato a compromettere la sicurezza aziendale nel minor tempo possibile.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    Con un sistema di negoziazione e gestione del riscatto che include strumenti di “dimostrazione” delle loro capacità distruttive, Crazyhunter si distingue per un modello di business che enfatizza la crittografia avanzata e persino l’uso della blockchain per registrare le loro “promesse” di decrittazione.

    Struttura del DLS di Crazyhunter

    Il portale Tor di Crazyhunter si articola in più sezioni, con un design minimale ma funzionale.

    L’homepage Presenta il nome del gruppo e il motto: “There is no absolute safety”. Un’affermazione che riflette la loro filosofia, secondo cui nessun sistema è immune a un attacco ben strutturato.

    Victim List

    L’elenco delle vittime pubblicate mostra aziende ed enti, prevalentemente in Taiwan, tra cui ospedali e università. Ogni scheda riporta:

    • Importo del riscatto richiesto (fino a $1.500.000).
    • Stato della trattativa, con alcune voci contrassegnate come Expired (probabilmente significa che i dati verranno rilasciati) e altre con la dicitura Successful cooperation (indicando un pagamento effettuato).
    • Timer per la scadenza dell’accordo, suggerendo un meccanismo di pressione psicologica sulle vittime.

    About Us Qui il gruppo descrive il proprio modus operandi e i punti di forza del ransomware.

    Contact Us Pagina con un form di contatto, utilizzata per le negoziazioni o possibili collaborazioni.

    Tecniche e Tattiche di Attacco

    Dalle informazioni fornite nel manifesto strategico, Crazyhunter si propone come un’operazione altamente tecnica, con una serie di caratteristiche distintive che lo rendono particolarmente pericoloso:

    Approccio ultra-rapido: il “72-hour Vulnerability Response Vacuum”

    Crazyhunter sostiene di bucare la sicurezza delle vittime in meno di 72 ore, grazie a:

    • Exploit esclusivi, con un tempo di rilevamento superiore del 300% rispetto alle medie stimate dal MITRE.
    • Bypass avanzato dei più noti sistemi di protezione degli endpoint, tra cui CrowdStrike, SentinelOne, Microsoft Defender XDR, Symantec EDR, Trend Micro XDR.

    Questo indica che il gruppo sfrutta vulnerabilità zero-day o N-day ben mirate, oltre a tattiche di evasion avanzate, che potrebbero includere l’uso di malware polimorfico e tecniche di attacco senza file (fileless attacks).

    Il “Three-dimensional Data Annihilation System”

    Crazyhunter non si limita a cifrare i dati, ma introduce un concetto di “annientamento” su tre livelli:

    • Encryption Layer → Utilizza l’algoritmo XChaCha20-Poly1305, noto per la sua sicurezza e velocità, rendendo impossibile il recupero dei dati senza la chiave corretta.
    • Destruction Layer → Impiega una tecnologia di cancellazione approvata dalla CIA, probabilmente riferendosi a standard come DoD 5220.22-M o metodi di sovrascrittura multipla per rendere i dati irrecuperabili.
    • Deterrence Layer → Qui emerge un aspetto nuovo nel panorama ransomware: il gruppo afferma di generare prove compromettenti altamente realistiche contro i dirigenti delle aziende attaccate, mediante AI e deepfake, per esercitare una pressione aggiuntiva nelle negoziazioni.

    Questo mix di crittografia avanzata, distruzione totale dei dati e minacce reputazionali rende Crazyhunter un attore unico nel suo genere, combinando ransomware tradizionale con metodi di coercizione psicologica.

    Criminal Branding e Blockchain

    Crazyhunter si distingue anche per un concetto inedito nel mondo del ransomware: il branding criminale. Tra i servizi offerti ci sono:

    • Possibilità di ritardare la pubblicazione dei dati pagando il 50% del riscatto in anticipo.
    • Una guida alla remediation delle vulnerabilità utilizzate per l’attacco, apparentemente come incentivo al pagamento.
    • Un video di prova della cancellazione dei dati una volta pagato il riscatto.

    Infine, il manifesto strategico sottolinea che il gruppo non si considera “avido” come REvil o “troppo rumoroso” come LockBit, e dichiara di fare solo tre cose:

    1. Dimostrare l’inevitabilità dell’attacco attraverso la matematica.
    2. Assicurare l’irreversibilità della minaccia tramite il codice.
    3. Registrare ogni promessa mantenuta sulla blockchain.

    L’ultimo punto suggerisce che Crazyhunter potrebbe utilizzare una blockchain pubblica o privata per tenere traccia delle operazioni completate, forse per dimostrare alle future vittime che mantengono la parola quando si tratta di fornire i decryptor dopo il pagamento.

    Obiettivi e Vittime

    L’analisi della victim list sul DLS di Crazyhunter mostra che il gruppo si è concentrato prevalentemente su organizzazioni taiwanesi, con un focus su:

    • Università e istituti di ricerca (Asia University, Asia University Hospital).
    • Strutture sanitarie (Mackay Hospital, Changhua Christian Medical Foundation).
    • Aziende del settore energetico (Huacheng Electric).

    L’inclusione di ospedali e istituzioni accademiche suggerisce un target opportunistico, dove la probabilità di pagamento è elevata a causa della sensibilità dei dati coinvolti. Tuttavia, è possibile che il gruppo espanda il proprio raggio d’azione verso aziende di altri settori nei prossimi mesi.

    Conclusioni

    Crazyhunter non è il solito gruppo ransomware. A differenza di altre operazioni che si concentrano solo sulla cifratura dei file, questo gruppo introduce tattiche di pressione aggiuntive, tra cui:

    • Distruzione irreversibile dei dati, oltre alla cifratura.
    • Uso di AI per creare prove compromettenti contro i dirigenti.
    • Registrazione delle operazioni sulla blockchain per costruire “fiducia” nel mercato criminale.

    Sebbene sia ancora presto per valutarne l’impatto complessivo, Crazyhunter ha già dimostrato di poter colpire organizzazioni di alto profilo e di avere un modello operativo altamente strategico. La combinazione di exploit avanzati, crittografia sofisticata e tattiche di coercizione lo rende una minaccia emergente da non sottovalutare.

    Per le aziende, la lezione è chiara: non basta proteggersi dal ransomware tradizionale. Le nuove generazioni di cybercriminali stanno affinando strategie sempre più distruttive e difficili da contrastare.

    Pietro Melillo
    Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

    Articoli in evidenza

    Breach Forums che fine hai fatto? Sequestro in corso, Honeypot federale o Disservizio?

    A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...

    Un Exploit Zero Day su FortiGate in vendita nei forum underground per 6.500 dollari

    Un utente anonimo ha pubblicato nel forum underground chiuso Exploit un annuncio che ha subito attirato l’attenzione della comunità di cybersecurity: la vendita di un exploit zero-day...

    Un e-commerce italiano sta per essere compromesso: accesso in vendita per 500$

    Un nuovo annuncio pubblicato sul noto forum underground Exploit.in accende i riflettori su un’ennesima violazione ai danni di una realtà italiana. Questa volta si tratta di un e-...

    L’Operazione Endgame Continua: colpo duro ai clienti della botnet Smokeloader. Scattano gli arresti

    A seguito dell’operazione Endgame, le forze dell’ordine hanno identificato i clienti della botnet Smokeloader e hanno segnalato l’arresto di almeno cinque persone. Ricordiamo che&...

    Shock Hacking: Come Guidare una Nissan Leaf Da Remoto! La ricerca al Black Hat Asia 2025

    I ricercatori della PCAutomotive hanno evidenziato diverse vulnerabilità nel veicolo elettrico Nissan Leaf. Gli esperti hanno dimostrato che i bug potrebbero essere utilizzati per l...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006