Cybercrime e confusione: “The Gentlemen” prende di mira il trasporto italiano, sbaglia bersaglio?

Il gruppo ransomware rivendica un attacco a “Sita Sud” avviando il countdown. Tuttavia, l’analisi del Data Leak Site rivela un errore grossolano nella profilazione della vittima. Siamo di fronte a un accesso opportunistico gestito da bot?

Il settore dei trasporti italiano torna a tremare, o almeno così sembra suggerire l’ultima rivendicazione apparsa nelle scure profondità del dark web. I radar di Ransomfeed hanno intercettato una nuova entry pubblicata il 20 Gennaio 2026 dal collettivo criminale noto come “The Gentlemen“.

La vittima designata nel titolo del post è Sita Sud, azienda del trasporto pubblico su gomma che collega gran parte del Mezzogiorno. Ma un’analisi tecnica della rivendicazione svela uno scenario più complesso e inquietante sulla security posture di queste gang criminali.

L’anatomia della minaccia

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il gruppo “The Gentlemen” si presenta con un’estetica curata, quasi “elegante” (da qui il nome), utilizzando loghi in bianco e nero e slogan rassicuranti come “Your data is secure” (I tuoi dati sono al sicuro), un eufemismo tipico della Double Extortion: i dati sono al sicuro solo se paghi, altrimenti verranno pubblicati.

Al momento non vi è stato alcun data dump. È attivo un countdown di oltre 200 ore (circa 9 giorni), una finestra temporale solitamente concessa alla vittima per avviare le negoziazioni prima del leak pubblico.

L’errore di Intelligence: chi è la vera vittima?

È qui che l’occhio dell’analista nota l’anomalia. Sebbene il “Title” della pagina indichi Sita Sud, il contenuto visivo e testuale caricato dai criminali racconta un’altra storia.

Come visibile dagli screenshot acquisiti, il logo utilizzato e la descrizione aziendale (“Sud Trasporti opera nel settore dei trasporti da oltre cinquant’anni… carichi completi, groupage, rifiuti speciali”) appartengono in realtà a Sudtrasporti Logistica Integrata.

Stiamo parlando di due entità distinte:

• Sita Sud: Trasporto pubblico locale (persone/autobus).
• Sudtrasporti: Logistica e spedizioni (merci/camion).

Cosa ci dice questo errore sul Threat Actor?

Questo misunderstanding non è un dettaglio da poco. In ambito di Threat Intelligence, suggerisce che l’attacco non sia stato condotto con una fase di Reconnaissance (ricognizione) manuale e mirata, ma sia probabilmente il frutto di attività automatizzate o opportunistiche.

Lo scenario più probabile è che un affiliato del gruppo abbia ottenuto un accesso iniziale (magari tramite credenziali esfiltrate da un Infostealer) a un sistema che conteneva la stringa “Sud” o “Trasporti”, e che il bot incaricato di creare la pagina del riscatto abbia fatto uno scraping automatico errato da Google, associando il nome di un’azienda al sito web di un’altra.

Lo stato dell’arte

Al momento, la minaccia rimane classificata come potenziale. Non sappiamo se i sistemi compromessi siano quelli della Sita Sud (come dice il titolo) o della Sudtrasporti (come dicono logo e descrizione), o se si tratti di un “falso positivo” generato da dati obsoleti.

Non risultano disservizi operativi sulle linee di trasporto, né comunicazioni ufficiali da parte delle aziende coinvolte. Tuttavia, la presenza di un countdown impone la massima allerta: che si tratti di un errore di etichettatura o di un attacco reale, i dati di una realtà italiana sono, secondo i criminali, pronti per essere diffusi. Monitoreremo lo scadere del timer su Ransomfeed per verificare l’evoluzione della minaccia.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Vincenzo Miccoli

Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.