Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Le Forze dell’Ordine chiudono il sito di ALPHV/BlackCat. Sarà finita la storia del famoso Gatto Nero? Assolutamente NO!

Chiara Nardini : 19 Dicembre 2023 14:25

Le forze dell’ordine internazionali hanno colpito duramente la famigerata banda criminale informatica ALPHV/BlackCat, eliminando il loro data leak site all’interno della rete onion. L’azione congiunta coinvolge diverse agenzie, tra cui l’FBI, il Federal Criminal Police Office, la NCA (National Crime Agency), e la Polizia di altri paesi. Questo dimostra che la cooperazione globale nel contrastare le minacce informatiche transnazionali sta pagando.

Sulla homepage del data leak site, ora sostituita da un avviso delle forze dell’ordine, si legge:

“This action has been taken in coordination with the United States Attorney’s Office for the Southern District of Florida and the Computer Crime and Intellectual Property Section of the Department of Justice with substantial assistance from Europol and Zentrale Kriminalinspektion Göttingen.”

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.



Supporta RHC attraverso:
 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.
 

“Questa azione è stata intrapresa in coordinamento con l’Ufficio del Procuratore degli Stati Uniti per il Distretto Meridionale della Florida e la Sezione Crimini Informatici e Proprietà Intellettuale del Dipartimento di Giustizia, con il sostegno sostanziale di Europol e Zentrale Kriminalinspektion Göttingen.”

Ora è da comprendere se le forze dell’ordine siano arrivati ad arrestare i membri della gang oppure si tratta solo di aver abbattuto le infrastrutture IT del gruppo. Sentiremo ancora parlare nel futuro di BlackCat/ALPHV?

Ma sembrerebbe che la cyber gang, abbia spostato immediatamente le sue risorse su un altro indirizzo onion, facendoci comprendere che una politica di backup è essenziale in qualsiasi operazione di business, sia criminale che non è che gli “imprevisti” ci sono sempre.

L’Attacco Internazionale contro ALPHV/BlackCat

L’operazione internazionale ha smantellato il data leak site conosciuto, noto per aver diffuso dati sensibili provenienti da violazioni di sicurezza in tutto il mondo. La banda ALPHV/BlackCat è conosciuta per la sua attività criminale su vasta scala. Queste coinvolgono il furto di dati personali, la vendita di informazioni sensibili sul dark web e l’esecuzione di attacchi ransomware.

Le infrastrutture IT della cyber gang sono state interrotte con una collaborazione tra agenzie di diversi paesi. L’FBI e la NCA hanno lavorato a stretto contatto con il Procuratore degli Stati Uniti per il Distretto Meridionale della Florida e la Sezione Crimini Informatici e Proprietà Intellettuale del Dipartimento di Giustizia degli Stati Uniti.

Attacchi in Italia e Impatto Locale

La banda ALPHV/BlackCat non si è limitata alle sue attività criminose a livello internazionale, ma ha preso di mira entità in Italia. Ha portato infatti avanti attacchi informatici che hanno compromesso la sicurezza di aziende e cittadini italiani.

Ricordiamo sicuramente il cruento attacco informatico all’Università di Pisa, ma anche a VOG, Azimut, Del Monte, Fruttagel e molte altre ancora.

Chi sono i criminali di BlackCat

Il ransomware, è una tipologia di malware che viene inoculato all’interno di una organizzazione, per poter cifrare i dati e rendere indisponibili i sistemi. Una volta cifrati i dati, i criminali chiedono alla vittima il pagamento di un riscatto, da pagare in criptovalute, per poterli decifrare.

Qualora la vittima non voglia pagare il riscatto, i criminali procederanno con la doppia estorsione. Ovvero la minaccia della pubblicazione di dati sensibili precedentemente esfiltrati dalle infrastrutture IT della vittima.

Per comprendere meglio il funzionamento delle organizzazioni criminali all’interno del business del ransomware as a service (RaaS), vi rimandiamo a questi articoli:

I ricercatori di sicurezza di Recorded Future e MalwareHunterTeam, intorno a fine del 2021, scoprirono un nuovo ceppo di ransomware chiamato ALPHV/BlackCat. Tale ceppo era coinvolto in precedenza in operazioni criminali con la famigerata cyber gang REvil (Sodinokibi).

Questo ransomware, è tecnicamente il terzo ceppo ad utilizzare il linguaggio Rust dopo la pubblicazione di un proof-of-concept che venne rilasciato su GitHub nel 2020. Si ratta di un ceppo sperimentale, oramai defunto chiamato BadBeeTeam che venne osservato nello stesso anno.

ALPHV (BlackCat) è il primo ad essere creato e distribuito attraverso una cyber gang che opera in modello RaaS (Ransomware as a Service). Seguendo il modello di REvil, la gang pubblicizzò il suo programma di affiliazione all’interno dei forum clandestini di criminalità informatica (XSS e Exploit). Ha quindi invitato altri criminali ad unirsi e lanciare attacchi contro grandi aziende per estorcere denaro.

Coloro che si candidavano, noti come “affiliati”, ricevono una versione del ransomware ALPHV (BlackCat) che potevano utilizzare negli attacchi. Se gli attacchi portavano all’estorsione si procedeva alla spartizione dei proventi una volta arrivato il pagamento da parte dell’azienda violata.

Il malware può crittografare i dati su sistemi Windows, Linux e VMWare eSXI. Gli affiliati possono guadagnare tra l’80% e il 90% del riscatto finale. Questo varia a seconda della somma totale che estraggono dalle vittime .

In sintonia con le tattiche della maggior parte delle principali operazioni di ransomware odierne, il gruppo si impegna anche in una doppia estorsione. Utilizzano i dati rubati per fare pressione sulle vittime affinché paghino, minacciando di far trapelare i dati rubati se non lo fanno.

Sebbene ci siano stati altri tentativi di creare ransomware in Rust, BlackCat è il primo a rappresentare una vera minaccia e di cui le aziende devono fare attenzione. In un tweet, Michael Gillespie (famoso analista di malware presso Emsisoft e autore di decine di utilità di decrittazione ransomware), descrisse BlackCat come un ransomware “molto sofisticato”.

Tuttavia, BlackCat non è l’unico RaaS professionale ad utilizzare Rust, dove tale linguaggio di programmazione è considerato molto più sicuro rispetto a C e C++.

Anche altri gruppi di criminalità informatica, come gli operatori di BuerLoader e FickerStealer , hanno fatto i primi passi nel 2021 verso l’implementazione delle versioni Rust dei loro strumenti.

Chiara Nardini
Esperta di Cyber Threat intelligence e di cybersecurity awareness, blogger per passione e ricercatrice di sicurezza informatica. Crede che si possa combattere il cybercrime solo conoscendo le minacce informatiche attraverso una costante attività di "lesson learned" e di divulgazione. Analista di punta per quello che concerne gli incidenti di sicurezza informatica del comparto Italia.

Lista degli articoli

Articoli in evidenza

Due bug critici in Cisco ASA e FTD: score 9.9 e rischio esecuzione di codice remoto
Di Redazione RHC - 25/09/2025

Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...

Linux balla la samba… ma cade in una race condition. Una falla critica minaccia il kernel
Di Redazione RHC - 25/09/2025

Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...

Criptovalute, ransomware e hamburger: la combo fatale per Scattered Spider
Di Redazione RHC - 25/09/2025

Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...

Rilevate vulnerabilità Zero-Day in Cisco IOS e IOS XE: Aggiornamenti Urgenti
Di Redazione RHC - 25/09/2025

Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...

Esce Kali Linux 2025.3! Nuova release con miglioramenti e nuovi strumenti
Di Redazione RHC - 24/09/2025

Gli sviluppatori di Kali Linux hanno rilasciato una nuova release, la 2025.3, che amplia le funzionalità della distribuzione e aggiunge dieci nuovi strumenti di penetration testing. L’aggiornamento...