Pietro Melillo : 10 Marzo 2025 12:52
Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un Data Leak Site di una cyber gang mai monitorata prima: Crazyhunter.
Con un’identità distinta e un manifesto che lo pone in contrasto con altri attori della scena cybercriminale, Crazyhunter si presenta come un’operazione sofisticata che punta sulla velocità di attacco, la distruzione dei dati e un sistema di branding criminale altamente strutturato.
Dalle informazioni raccolte sul loro Data Leak Site (DLS), disponibile nella rete Tor, il gruppo sembra adottare un approccio metodico e aggressivo, mirato a compromettere la sicurezza aziendale nel minor tempo possibile.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Con un sistema di negoziazione e gestione del riscatto che include strumenti di “dimostrazione” delle loro capacità distruttive, Crazyhunter si distingue per un modello di business che enfatizza la crittografia avanzata e persino l’uso della blockchain per registrare le loro “promesse” di decrittazione.
Il portale Tor di Crazyhunter si articola in più sezioni, con un design minimale ma funzionale.
L’homepage Presenta il nome del gruppo e il motto: “There is no absolute safety”. Un’affermazione che riflette la loro filosofia, secondo cui nessun sistema è immune a un attacco ben strutturato.
Victim List
L’elenco delle vittime pubblicate mostra aziende ed enti, prevalentemente in Taiwan, tra cui ospedali e università. Ogni scheda riporta:
About Us Qui il gruppo descrive il proprio modus operandi e i punti di forza del ransomware.
Contact Us Pagina con un form di contatto, utilizzata per le negoziazioni o possibili collaborazioni.
Dalle informazioni fornite nel manifesto strategico, Crazyhunter si propone come un’operazione altamente tecnica, con una serie di caratteristiche distintive che lo rendono particolarmente pericoloso:
Crazyhunter sostiene di bucare la sicurezza delle vittime in meno di 72 ore, grazie a:
Questo indica che il gruppo sfrutta vulnerabilità zero-day o N-day ben mirate, oltre a tattiche di evasion avanzate, che potrebbero includere l’uso di malware polimorfico e tecniche di attacco senza file (fileless attacks).
Crazyhunter non si limita a cifrare i dati, ma introduce un concetto di “annientamento” su tre livelli:
Questo mix di crittografia avanzata, distruzione totale dei dati e minacce reputazionali rende Crazyhunter un attore unico nel suo genere, combinando ransomware tradizionale con metodi di coercizione psicologica.
Crazyhunter si distingue anche per un concetto inedito nel mondo del ransomware: il branding criminale. Tra i servizi offerti ci sono:
Infine, il manifesto strategico sottolinea che il gruppo non si considera “avido” come REvil o “troppo rumoroso” come LockBit, e dichiara di fare solo tre cose:
L’ultimo punto suggerisce che Crazyhunter potrebbe utilizzare una blockchain pubblica o privata per tenere traccia delle operazioni completate, forse per dimostrare alle future vittime che mantengono la parola quando si tratta di fornire i decryptor dopo il pagamento.
L’analisi della victim list sul DLS di Crazyhunter mostra che il gruppo si è concentrato prevalentemente su organizzazioni taiwanesi, con un focus su:
L’inclusione di ospedali e istituzioni accademiche suggerisce un target opportunistico, dove la probabilità di pagamento è elevata a causa della sensibilità dei dati coinvolti. Tuttavia, è possibile che il gruppo espanda il proprio raggio d’azione verso aziende di altri settori nei prossimi mesi.
Crazyhunter non è il solito gruppo ransomware. A differenza di altre operazioni che si concentrano solo sulla cifratura dei file, questo gruppo introduce tattiche di pressione aggiuntive, tra cui:
Sebbene sia ancora presto per valutarne l’impatto complessivo, Crazyhunter ha già dimostrato di poter colpire organizzazioni di alto profilo e di avere un modello operativo altamente strategico. La combinazione di exploit avanzati, crittografia sofisticata e tattiche di coercizione lo rende una minaccia emergente da non sottovalutare.
Per le aziende, la lezione è chiara: non basta proteggersi dal ransomware tradizionale. Le nuove generazioni di cybercriminali stanno affinando strategie sempre più distruttive e difficili da contrastare.
Il gruppo di hacker LunaLock ha aggiunto un nuovo elemento al classico schema di estorsione, facendo leva sui timori di artisti e clienti. Il 30 agosto, sul sito web Artists&Clients, che mette in ...
LockBit rappresenta una delle più longeve e strutturate ransomware gang degli ultimi anni, con un modello Ransomware-as-a-Service (RaaS)che ha segnato in maniera profonda l’ecosistema criminale. A ...
Il record per il più grande attacco DDoS mai registrato nel giugno 2025 è già stato battuto. Cloudflare ha dichiarato di aver recentemente bloccato il più grande attacco DDoS della storia, che ha ...
Un’intrusione di dati è stata rilevata da Cloudflare, dove un aggressore esperto ha potuto accedere e quindi rubare i dati sensibili dei propri clienti da quella che era l’istanza Salesforce mess...
All’inizio di settembre 2025,Palo Alto Networks ha confermato di essere stata vittima di una violazione dei dati. La compromissione non ha interessato i suoi prodotti o servizi core, bensì alcune i...