Cybercrime e confusione: “The Gentlemen” prende di mira il trasporto italiano, sbaglia bersaglio?

Il gruppo ransomware rivendica un attacco a “Sita Sud” avviando il countdown. Tuttavia, l’analisi del Data Leak Site rivela un errore grossolano nella profilazione della vittima. Siamo di fronte a un accesso opportunistico gestito da bot?

Il settore dei trasporti italiano torna a tremare, o almeno così sembra suggerire l’ultima rivendicazione apparsa nelle scure profondità del dark web. I radar di Ransomfeed hanno intercettato una nuova entry pubblicata il 20 Gennaio 2026 dal collettivo criminale noto come “The Gentlemen“.

La vittima designata nel titolo del post è Sita Sud, azienda del trasporto pubblico su gomma che collega gran parte del Mezzogiorno. Ma un’analisi tecnica della rivendicazione svela uno scenario più complesso e inquietante sulla security posture di queste gang criminali.

L’anatomia della minaccia

Il gruppo “The Gentlemen” si presenta con un’estetica curata, quasi “elegante” (da qui il nome), utilizzando loghi in bianco e nero e slogan rassicuranti come “Your data is secure” (I tuoi dati sono al sicuro), un eufemismo tipico della Double Extortion: i dati sono al sicuro solo se paghi, altrimenti verranno pubblicati.

Al momento non vi è stato alcun data dump. È attivo un countdown di oltre 200 ore (circa 9 giorni), una finestra temporale solitamente concessa alla vittima per avviare le negoziazioni prima del leak pubblico.

L’errore di Intelligence: chi è la vera vittima?

È qui che l’occhio dell’analista nota l’anomalia. Sebbene il “Title” della pagina indichi Sita Sud, il contenuto visivo e testuale caricato dai criminali racconta un’altra storia.

Come visibile dagli screenshot acquisiti, il logo utilizzato e la descrizione aziendale (“Sud Trasporti opera nel settore dei trasporti da oltre cinquant’anni… carichi completi, groupage, rifiuti speciali”) appartengono in realtà a Sudtrasporti Logistica Integrata.

Stiamo parlando di due entità distinte:

• Sita Sud: Trasporto pubblico locale (persone/autobus).
• Sudtrasporti: Logistica e spedizioni (merci/camion).

Cosa ci dice questo errore sul Threat Actor?

Questo misunderstanding non è un dettaglio da poco. In ambito di Threat Intelligence, suggerisce che l’attacco non sia stato condotto con una fase di Reconnaissance (ricognizione) manuale e mirata, ma sia probabilmente il frutto di attività automatizzate o opportunistiche.

Lo scenario più probabile è che un affiliato del gruppo abbia ottenuto un accesso iniziale (magari tramite credenziali esfiltrate da un Infostealer) a un sistema che conteneva la stringa “Sud” o “Trasporti”, e che il bot incaricato di creare la pagina del riscatto abbia fatto uno scraping automatico errato da Google, associando il nome di un’azienda al sito web di un’altra.

Lo stato dell’arte

Al momento, la minaccia rimane classificata come potenziale. Non sappiamo se i sistemi compromessi siano quelli della Sita Sud (come dice il titolo) o della Sudtrasporti (come dicono logo e descrizione), o se si tratti di un “falso positivo” generato da dati obsoleti.

Non risultano disservizi operativi sulle linee di trasporto, né comunicazioni ufficiali da parte delle aziende coinvolte. Tuttavia, la presenza di un countdown impone la massima allerta: che si tratti di un errore di etichettatura o di un attacco reale, i dati di una realtà italiana sono, secondo i criminali, pronti per essere diffusi. Monitoreremo lo scadere del timer su Ransomfeed per verificare l’evoluzione della minaccia.

Vincenzo Miccoli

Fin da bambino ho nutrito una profonda passione per l'informatica, scoprendo con il tempo un ramo ancora più affascinante e sorprendente, la sicurezza informatica. Laureato con Lode presso l’università degli Studi di Bari Aldo Moro in Sicurezza Informatica. Attualmente, ricopro il ruolo di Cyber Security Analyst, costantemente motivato dalla volontà di approfondire le mie conoscenze e progredire costantemente.