Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
A cura di Luca Stivali, Raffaela Crisci e Lorenzo Nardi
Nel corso dello scambio preliminare all’intervista, Anubis ha espresso una posizione estremamente netta sul collasso di alcune piattaforme storiche dell’ecosistema ransomware e sul reale significato dei recenti shutdown. Secondo l’operatore, la chiusura di forum come RAMP non ha avuto alcun impatto concreto sul business dei gruppi attivi: “alcuni programmi chiudono, altri nascono. Le persone restano le stesse, cambiano solo i brand”.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Anubis afferma di aver pagato direttamente l’amministratore di RAMP per servizi di advertising, senza ricevere alcun rimborso dopo il sequestro della piattaforma, accusandolo apertamente di incompetenza tecnica e mancanza di parola. In particolare, viene descritto uno scenario di gestione dilettantesca dell’infrastruttura, con database utenti conservati in chiaro e sistemi privi di misure minime di sicurezza — elementi che, secondo Anubis, rendono il shutdown del forum non solo prevedibile, ma quasi inevitabile.
Per quanto riguarda LockBit, il giudizio è ancora più duro. Pur riconoscendone il ruolo storico come uno dei RaaS più solidi e strutturati del passato, Anubis lo definisce oggi un relitto dell’industria, privo di rispetto nell’area CIS e ormai ridotto a una caricatura di sé stesso. Le recenti accuse di rebranding (DarkSide / BlackCat) vengono liquidate come tentativi disperati di screditare concorrenti, basati su supposizioni senza prove.
Il messaggio che emerge è chiaro: nel ransomware moderno non contano più i nomi, ma le persone, le competenze e la capacità di muoversi in un ecosistema fluido, dove affiliati, access broker e operatori migrano rapidamente da una piattaforma all’altra. Il brand cambia, l’essenza resta.
Il gruppo ransomware Anubis si presenta come un attore RaaS “atipico”, distante dalle dinamiche di scala, marketing aggressivo e competizione aperta che hanno caratterizzato gran parte dell’ecosistema ransomware negli ultimi anni. Nel corso dell’intervista, Anubis rivendica una struttura chiusa, selettiva e orientata esclusivamente al profitto, rifiutando l’etichetta di “cartello” e prendendo esplicitamente le distanze sia dai competitor sia dalle dinamiche di visibilità tipiche dei grandi leak site.
Secondo quanto dichiarato, Anubis non utilizza wiper distruttivi sui dati di produzione, ma esclusivamente moduli dedicati alla cancellazione dei backup, con l’obiettivo di impedire il ripristino senza compromettere la possibilità di monetizzazione. Questa posizione entra in parziale contrasto con alcune ricostruzioni pubblicate da vendor e media specializzati, che in passato hanno descritto Anubis come un gruppo con capacità distruttive estese. L’operatore attribuisce tali narrazioni a una lettura superficiale e non verificata delle funzionalità del malware, accusando apertamente parte del giornalismo cyber di amplificare informazioni tecnicamente errate senza analisi delle fonti primarie.
Ed è proprio sul rapporto con i media che emerge uno dei punti più critici. Anubis mostra un atteggiamento di forte disprezzo verso l’“hype journalism”, sostenendo che molte ricostruzioni sul ransomware moderno siano guidate più dalla ricerca di visibilità che dalla comprensione tecnica dei fenomeni. Una posizione che, se da un lato evidenzia reali problemi di qualità nell’informazione di settore, dall’altro va letta anche come parte di una strategia comunicativa tipica degli attori criminali: delegittimare le analisi esterne per rafforzare la propria versione dei fatti.
Lo stesso vale per il posizionamento di Anubis rispetto all’ecosistema underground. Il gruppo ridimensiona drasticamente l’importanza di forum, leak site e brand storici, sostenendo che le persone contano più delle piattaforme e che la migrazione tra programmi RaaS sia un fenomeno strutturale e continuo. Questa affermazione trova riscontro in numerose osservazioni CTI indipendenti, ma non elimina il fatto che la reputazione pubblica, la fiducia e il controllo dell’infrastruttura restino elementi centrali nella competizione ransomware — anche quando vengono apertamente negati.
In sintesi, l’intervista che segue offre uno spaccato diretto e raro sul modo in cui Anubis interpreta sé stesso e il mercato ransomware. Come sempre in ambito CTI, tali dichiarazioni vanno lette non come verità assolute, ma come indicatori di mindset, strategia e percezione interna, da confrontare con i dati tecnici, le vittime osservate e le dinamiche reali dell’ecosistema criminale.
Il gruppo afferma di non distruggere mai i dati di produzione, utilizzando il wiper esclusivamente per eliminare i backup e impedire il ripristino autonomo delle vittime. Secondo Anubis, la narrativa del “wiper distruttivo” sarebbe il risultato di articoli imprecisi e analisi non supportate da reverse engineering o studio delle fonti primarie.
Le analisi pubbliche disponibili confermano la presenza di moduli con funzionalità distruttive, ma non sempre distinguono chiaramente tra data destruction e backup wiping. La posizione di Anubis è tecnicamente plausibile e coerente con un modello puramente economico: la distruzione totale dei dati ridurrebbe drasticamente la probabilità di pagamento. Tuttavia, l’ambiguità comunicativa resta e ha contribuito, nel tempo, a rafforzare una percezione più aggressiva del gruppo.
Anubis esprime un forte disprezzo per una parte del giornalismo cyber, accusato di amplificare hype, semplificare dinamiche complesse e pubblicare informazioni tecnicamente errate senza verifiche indipendenti. In più punti, l’operatore sottolinea come la disinformazione danneggi la comprensione reale dell’ecosistema ransomware.
Il problema dell’iper-semplificazione e del clickbait nel settore cybersecurity è reale e documentato. Allo stesso tempo, la delegittimazione sistematica delle analisi esterne è una strategia comunicativa tipica dei threat actor, utile a rafforzare la propria narrativa e a spostare il focus dalle evidenze tecniche alle dichiarazioni dirette. In CTI, entrambe le dimensioni devono essere considerate.
Secondo il gruppo, forum, leak site e brand storici hanno un’importanza marginale. Gli attori — affiliati, access broker, operatori — restano gli stessi e migrano rapidamente tra piattaforme. “Il nome cambia, l’essenza no”.
Le migrazioni rapide tra programmi RaaS sono un fenomeno consolidato e osservabile. Tuttavia, le recenti campagne di defacement, takedown e guerra reputazionale indicano che infrastruttura, fiducia e controllo dell’ecosistema restano asset strategici. Anche quando un gruppo nega di competere, il contesto dimostra che la competizione esiste — solo su piani meno visibili.
Anubis si descrive come un gruppo chiuso, non interessato alla scala, alla visibilità o al reclutamento massivo. L’obiettivo è esclusivamente economico, con una crescente centralità dell’uso dei dati esfiltrati rispetto alla semplice cifratura.
Questa visione è coerente con una tendenza più ampia: il ransomware come strumento di data extortion, dove la cifratura diventa secondaria. Le dichiarazioni di Anubis si allineano a quanto osservato in diversi casi recenti, suggerendo che — al di là del brand — il modello operativo stia effettivamente evolvendo in questa direzione.
Le dichiarazioni dirette dei threat actor non vanno mai lette come verità oggettive, ma come indicatori di mindset, strategia e percezione interna. Il loro valore non sta tanto nella conferma dei fatti, quanto nella comprensione di come il gruppo vuole essere percepito — e di cosa ritiene oggi davvero rilevante nel mercato ransomware.
L’intervista ad Anubis non offre rassicurazioni, né soluzioni semplici. Al contrario, restituisce un’immagine cruda e coerente di un ecosistema ransomware che sta progressivamente abbandonando la spettacolarizzazione della cifratura di massa per concentrarsi su ciò che genera valore reale: i dati, la pressione reputazionale e il controllo dell’informazione.
Al di là delle dichiarazioni — da leggere sempre con il necessario distacco critico — emergono alcuni elementi difficili da ignorare. Il primo è che la sicurezza non fallisce per mancanza di tecnologia, ma per carenze strutturali, organizzative e culturali. Password deboli, sistemi non aggiornati, assenza di monitoraggio e di consapevolezza continuano a rappresentare il vero punto di ingresso, anche in contesti che dovrebbero essere protetti da perimetri normativi stringenti.
Il secondo è che il dibattito pubblico sul ransomware resta spesso sbilanciato. Tra hype mediatico, semplificazioni e narrazioni polarizzate, si perde di vista la natura reale del problema: un mercato criminale che evolve più rapidamente della capacità di molte organizzazioni di comprenderlo. In questo senso, il contatto diretto con gli attori — per quanto controverso — non serve a legittimarli, ma a ridurre l’asimmetria informativa che ancora oggi favorisce gli attaccanti.
Infine, questa conversazione conferma una tendenza ormai evidente: il futuro del ransomware non è nella forza bruta del malware, ma nella capacità di leggere i contesti, sfruttare le debolezze umane e trasformare l’informazione in leva economica. Ignorare questa evoluzione, o ridurla a slogan, significa preparare il terreno ai prossimi incidenti.
Comprendere non significa giustificare.
Ma senza comprensione, non esiste difesa efficace.
RHC: Ciao e grazie per averci dato l’opportunità di intervistarti. In molte delle nostre interviste con i threat actor iniziamo solitamente chiedendo l’origine e il significato del nome del gruppo. Puoi condividere con noi la storia dietro il vostro?
ANUBIS: Ho già risposto una volta alla stampa su questa domanda, e la mia risposta suonava così: le persone desiderano sempre una storia, vero? Sì, capisco perfettamente cosa stai chiedendo. Abbiamo sviluppato la nostra piattaforma in condizioni di stretta segretezza, operando con il nome in codice “Project_Pyramid”.
Quel progetto era composto da due elementi principali: un media outlet indipendente chiamato “Anubis” — il nostro blog — e una suite di cifratura chiamata “Sphinx”. Con l’evolversi del progetto abbiamo abbandonato l’idea di separare il software dal blog e abbiamo unificato tutto sotto un unico nome: Anubis.
Perché il tema egizio? Probabilmente perché i dati cifrati spesso appaiono come schemi complessi — quasi come antichi geroglifici che solo gli iniziati possono decifrare. Anubis, dopotutto, è l’antico dio egizio della morte, dell’imbalsamazione e la guida delle anime verso l’aldilà.
Nel nostro mito, le aziende che rifiutano di cooperare inevitabilmente collassano sotto il peso delle proprie decisioni — accompagnate nella loro “vita dopo la morte” aziendale. Silenziosamente. Inevitabilmente. Proprio come l’antico guardiano che conduce le anime attraverso le sabbie del Nilo.
Ma lasciamo la mitologia e torniamo alla realtà. A differenza del dio Anubis — noi non siamo un mito.
RHC: Se dovessi consigliare a un’azienda da dove iniziare per diventare resiliente contro attacchi informatici come i vostri, cosa suggeriresti?
ANUBIS: Potrà sembrare un po’ rude, ma consiglierei di rimuovere gli idioti dai reparti IT e dai team di cybersecurity. Attacchiamo decine di aziende ogni giorno e più della metà cade nelle nostre mani a causa della stupidità umana — password deboli come Welcome123.
Oggi due aziende mi hanno pagato, entrambe avevano la password dell’amministratore di dominio impostata su Welcome123. Welcome2025 non è meglio. È vergognoso.
Dopo il pagamento forniamo anche all’azienda un report di penetration testing della loro rete aziendale, incluse le nostre raccomandazioni per rafforzare la sicurezza.
Comprendimi correttamente: il nostro compito è attaccare, non difendere. Noi siamo dall’altra parte.
RHC: Conduciamo queste conversazioni per aiutare i nostri lettori a capire che la cybersecurity è un ambito altamente tecnico e che, per vincere la lotta contro il cybercrime, dobbiamo essere più forti di voi — che spesso, come è noto, siete un passo avanti a tutti. C’è qualcosa che vorresti dire ai nostri lettori o alle potenziali vittime delle vostre operazioni?
ANUBIS: Come ho già detto, molto dipende dal fattore umano. Puoi implementare la soluzione EDR più potente, aggiornare il software in tempo e installare sistemi di monitoraggio. Ma basta una password debole, una porta aperta — e noi entriamo.
RHC: Kevin Mitnick ha dimostrato che l’ingegneria sociale è ancora oggi lo strumento di hacking più potente mai creato. Nonostante la crescente sofisticazione delle tecnologie difensive — spesso facili da implementare e molto efficaci — il fattore umano resta l’anello più debole di qualsiasi catena di sicurezza. Dal tuo punto di vista, cosa non dovrebbe assolutamente mancare in un moderno programma di Cybersecurity Awareness? Quali concetti, lezioni o principi comportamentali sono essenziali per costruire una consapevolezza reale e duratura del rischio cyber all’interno di un’organizzazione?
ANUBIS: Sì, Kevin aveva ragione. È esattamente così. Noi hackeriamo non solo i sistemi, ma anche le persone. In molti casi è persino più facile — ed è altrettanto interessante. Molti dipendenti non vogliono capire come funzionano le cose; non prendono sul serio la cybersecurity.
Condizionalmente parlando, tu sei un giornalista di cybersecurity, io sono un hacker.
Ma la ragazza alla reception di un hotel o di un ospedale non ha idea di come funzioni questo mondo digitale. Semplicemente non le interessa. Molte persone non pensano al pericolo finché non le colpisce personalmente.
Finché le persone non inizieranno a prendere sul serio la cybersecurity, gli attacchi continueranno con la stessa intensità.
Penso si possa fare un’analogia con un virus respiratorio: finché tutti non si ammalano e sviluppano un’immunità di gregge, il virus non scompare. Qui è la stessa cosa. Finché le persone non avranno una comprensione e una conoscenza chiare della cybersecurity, continueranno a diventare vittime degli hacker.
RHC: Studi recenti indicano una tendenza chiara: il business della cybersecurity sembra sempre più orientato a investire in capacità difensive piuttosto che a pagare riscatti. Anche molte aziende compromesse dichiarano pubblicamente di preferire un approccio “lesson learned”, utilizzando il valore del riscatto che rifiutano di pagare per rafforzare la propria postura di sicurezza. Dal tuo punto di vista, perché ha ancora senso investire risorse, tempo e sviluppo tecnico nelle operazioni ransomware se i pagamenti stanno diventando statisticamente meno frequenti? Qual è la logica strategica dietro attacchi il cui ritorno economico non è garantito?
ANUBIS: Qui c’è un errore. Nel nostro settore — il settore ransomware — molti hacker sono rimasti allo stesso livello. Pensano che si possa entrare in una rete, cifrarla e ottenere bei soldi, come cinque anni fa. Semplicemente hanno smesso di evolversi. Non c’è progresso, e nessuno li paga.
Sanno cifrare le reti, ma non sanno lavorare con i dati, con le informazioni estratte — e quella è un’arte a sé. L’informazione è sempre stata la merce più preziosa. Le persone pagano per essa. Le aziende pagano e continueranno a pagare.
Penso che il RaaS abbandonerà gli attacchi basati sulla cifratura tra qualche anno e passerà al ricatto basato sui dati rubati. Per quello le persone pagheranno sempre. Cambiano solo le variabili, non l’essenza.
RHC: Cosa vi ha motivato a colpire l’Autorità di Sistema Portuale del Mare Adriatico Centrale (porto di Ancona), e quali erano i vostri obiettivi principali in questa operazione? L’attacco è stato guidato principalmente da ragioni economiche, da visibilità strategica o da caratteristiche specifiche individuate nell’organizzazione o nella sua infrastruttura?
ANUBIS: Come ho già detto, attacchiamo decine di aziende ogni giorno. Questa era una di esse. Siamo motivati solo dal denaro. Questo è un business. Un business che porta enormi quantità di denaro.
Non posso fare a meno di notare che è un lavoro molto interessante che detta il tuo stile di vita.
Non è per tutti.
RHC: Puoi condividere informazioni sul vettore di accesso iniziale utilizzato nell’intrusione all’Autorità Portuale di Ancona e sulle principali debolezze di sicurezza riscontrate durante l’operazione? Dal tuo punto di vista, quali lacune difensive sono state più critiche nel consentire il movimento laterale e l’esfiltrazione dei dati?
ANUBIS: L’accesso è stato ottenuto sfruttando una vulnerabilità nella loro VPN aziendale. Non avevano aggiornato l’hardware da così tanto tempo che ci è quasi dispiaciuto per loro.
Per quanto riguarda il movimento laterale e l’escalation dei privilegi — la loro protezione era terribilmente debole, password deboli — tutto era molto triste.
Non so dove abbiano messo i soldi stanziati per la sicurezza. Non erano lì.
RHC: I porti sono ampiamente considerati infrastrutture critiche con un impatto diretto sulle catene di approvvigionamento nazionali e sui servizi pubblici. Quando selezionate target di questo tipo, tenete conto del potenziale impatto sistemico o sociale delle vostre operazioni, oppure la selezione è puramente opportunistica ed economicamente guidata?
ANUBIS: Tutti i nostri attacchi sono business. Sì, attaccare infrastrutture critiche è sbagliato.
Ma è giusto, secondo te, non preoccuparsi della cybersecurity in strutture così importanti e dare a un amministratore di sistema la password Pa$$w0rd2024!?
Ci sono sempre due lati. In questo incidente non è solo colpa nostra. Io la vedo in modo filosofico. Diamo sempre alle vittime la possibilità di fare un accordo con noi. Avrebbero ricevuto il software di decrittazione, avremmo cancellato tutti i dati che avevamo rubato, fornito un report sull’incidente e persino configurato le loro difese.
Ma no — non gliene importava. Non hanno nemmeno provato a negoziare. Problema loro.
Quando attacchiamo, diamo sempre una scelta. Si può negoziare con noi.
E se fossero stati attaccati da terroristi? Sarebbe stato molto peggio.
Ecco perché attaccheremo tutti indiscriminatamente e offriremo loro un accordo.
RHC: Il vostro modello di estorsione è ampiamente noto per l’uso di capacità di tipo wiper. Tra le vostre vittime ci sono settori che, secondo l’attuale quadro normativo europeo sulla cybersecurity (NIS2), sono classificati come essenziali e quindi rientrano in un perimetro che influisce direttamente sulla sicurezza pubblica, come sanità, pubblica amministrazione e infrastrutture critiche.
ANUBIS: Oh, questo è il più grande equivoco. Tutti i giornalisti ci fanno questa domanda sul wiper. Ora ti sorprenderò: noi non distruggiamo i dati. Riesci a immaginarlo? E non lo abbiamo mai fatto.
Il wiper è un modulo progettato per cancellare i backup in modo che un’azienda non possa ripristinarli. Tutti gli altri dati li cifriamo.
Se distruggessimo i dati invece di cifrarli, nessuno ci pagherebbe. Sarebbe una follia.
Un giornalista stupido, senza comprendere l’argomento o studiare la questione, ha pubblicato questa falsa storia sulla distruzione dei dati — e tutti l’hanno ripresa.
Mi vergogno di questo tipo di giornalismo. Le persone devono vedere la verità. È necessaria un’analisi indipendente. Le fonti primarie devono essere studiate.
RHC: Ci sono settori per i quali l’uso del wiper è sempre escluso?
ANUBIS: Non utilizziamo il wiper da nessuna parte se non per distruggere i backup. Altrimenti è inutile. Non siamo terroristi. Gestiamo un business.
RHC: Utilizzate la distruzione dei dati come avvertimento o deterrente verso altre organizzazioni?
ANUBIS: No. Non utilizziamo il wiper per distruggere dati o intimidire. Quasi non lo usiamo affatto.
RHC: Avete mai attivato quella funzione anche dopo il pagamento di un riscatto?
ANUBIS: No, non funziona così. È assurdo.
RHC: L’attivazione del wiper è una decisione presa dagli affiliati che conducono l’attacco, oppure è coordinata o decisa dal team centrale?
ANUBIS: Anubis opera in un formato semi-chiuso. Siamo un team e non accettiamo chiunque. Gli affiliati non hanno la possibilità di utilizzare il wiper.
RHC: Leggendo l’evoluzione di DragonForce, sembra meno un’innovazione tecnica e più un tentativo di governare un mercato. Secondo te, il modello “cartello” riguarda davvero la scalabilità del ransomware — o piuttosto decidere chi ha accesso, chi ottiene visibilità e chi viene spinto fuori dall’ecosistema RaaS?
ANUBIS: Non seguiamo i competitor. La mia opinione soggettiva è che DragonForce non sia diverso dagli altri RaaS. Si pubblicizza nel darknet alle stesse condizioni generali. Dietro le quinte, le persone dicono che sia un rebranding o uno spin-off di LockBit — non lo so con certezza. Guadagnano sugli affiliati; il loro modello è un modello di vendita. Business.
Noi, invece, siamo un gruppo separato e chiuso. Non siamo interessati alla scala e non abbiamo bisogno di persone.
RHC: Molti analisti sostengono che il modello “cartello” riguardi meno l’innovazione e più la paura: paura delle forze dell’ordine, dei sequestri e degli arresti. Vedi il cartello DragonForce come un segno di forza o come una reazione difensiva di gruppi che non riescono più a operare da soli?
ANUBIS: Non commenterò cose che non capisco. Non ci interessano i competitor. Non abbiamo tempo per loro.
RHC: DragonForce sembra competere più su infrastruttura, reputazione e controllo dell’ecosistema che sul malware in sé. Stiamo assistendo a un passaggio da gruppi criminali a piattaforme con un reale potere “politico” nel sottobosco ransomware?
ANUBIS: Nessun commento.
RHC: Gli ecosistemi ransomware in stile cartello portano inevitabilmente a un’escalation — più intimidazione, distruzione dei dati o danni irreversibili — come meccanismo per distinguersi e mantenere credibilità?
ANUBIS: A mio avviso, tutto questo è insignificante. La cosa più importante è saper lavorare con i dati, capire il business, capire i rischi. Conoscere i punti di dolore. Pochissimi sanno farlo.
Il RaaS come software di cifratura è già in declino e in fase terminale, e durerà ancora 2–3 anni. Dopo di che tutto il potere sarà nei DLS, nell’analisi dei dati e nella capacità di costruire visibilità attraverso i media. I riscatti verranno pagati per il silenzio, non per la decrittazione. Già oggi, circa metà di tutti i pagamenti riguarda i dati.
RHC: La sequenza temporale di defacement e takedown che hanno colpito Everest, RansomHub e LockBit coincide strettamente con il riposizionamento di DragonForce come cartello. Pensi che sia una coincidenza, opportunismo — o una strategia deliberata per destabilizzare i rivali e accelerare la migrazione degli affiliati?
ANUBIS: Alcuni programmi chiudono — altri vengono creati. Hacker comuni, pentester e access broker si spostano tra di essi. In sostanza, le stesse persone lavorano sotto marchi diversi. Il nome cambia, non l’essenza.
Non so chi ci sia dietro DragonForce. Per me è solo un RaaS normale come tutti gli altri. RansomHub, secondo me, ha semplicemente guadagnato abbastanza e se n’è andato. LockBit è un errore dell’industria. Un tempo era un attore forte, ora provoca solo risate. Nell’area CIS non è rispettato, nemmeno dietro le quinte. È un relitto del passato. Una persona che ha fatto cose basse e non ha controllato le proprie parole.
In breve — un ratto. Il suo business è in agonia. Sta cercando di guadagnare su un brand che un tempo era valido. Ma quei tempi sono finiti.
RHC: Gli attacchi ai leak site rivali e ai pannelli degli affiliati non generano un profitto diretto. Dal tuo punto di vista, questo conferma che il vero campo di battaglia non è più la vittima — ma la fiducia, la reputazione e il controllo della supply chain RaaS?
ANUBIS: Sì, è così. La cosa più importante è guadagnarsi la fiducia delle persone con cui lavori. Il segreto è semplice: essere sé stessi ed essere onesti con i propri partner. Nonostante si tratti di un business criminale, deve essere condotto onestamente.
RHC: Anche senza un’attribuzione diretta, DragonForce appare costantemente allineato a risultati che indeboliscono i competitor. Vedi DragonForce più come un esecutore — o come un orchestratore che beneficia del caos senza necessariamente premere il grilletto?
ANUBIS: Non si mostra in alcun modo in termini di competizione. Penso che sia semplicemente impegnato con il proprio business. Non l’ho visto interferire con nessuno. Credo sia giusto occuparsi dei propri affari piuttosto che fare la guerra ai concorrenti.
RHC: Considerando il calo dei pagamenti dei riscatti, difese più forti e una maggiore pressione delle forze dell’ordine: il cartello DragonForce è un segno di forza — o un sintomo di un’economia ransomware sotto stress, costretta a consolidarsi per sopravvivere?
ANUBIS: Mi sembra che dovreste intervistare DragonForce, non noi. Troppe domande che non hanno nulla a che fare con noi.
RHC: Storicamente, i cartelli criminali tendono a crollare a causa di conflitti interni, sfiducia o pressioni esterne. Pensi che i cartelli ransomware come DragonForce siano strutturalmente stabili — o intrinsecamente fragili e destinati a frammentarsi?
ANUBIS: Tutto è individuale e dipende dall’approccio e dalla gestione. Ognuno ha i propri obiettivi e la propria implementazione.
RHC: Se DragonForce scomparisse domani, il modello cartello crollerebbe — o l’idea ha già vinto, indipendentemente dal brand?
ANUBIS: Quando uno scompare, tutti i lavoratori — hacker, pentester — vanno sotto un altro brand. Non cambia nulla.
RHC: Grazie mille per l’intervista. Conduciamo queste conversazioni per aiutare i nostri lettori a capire che la cybersecurity è un campo altamente tecnico e che, per vincere la lotta contro il cybercrime, dobbiamo essere più forti di voi — che spesso, come è noto, siete un passo avanti a tutti. C’è qualcosa che vorresti dire ai nostri lettori o alle potenziali vittime delle vostre operazioni?
ANUBIS: Siamo tutti diversi. Ognuno di noi ha la propria visione, il proprio scopo. Ma condividiamo tutti questo pianeta. Forse un giorno, quando il denaro smetterà di governare e i politici smetteranno di alimentare guerre, smetteremo ciò che facciamo. Ma non è il mondo in cui viviamo.
Sì, comprendiamo che le nostre azioni non sono virtuose. Ma come un virus, costringiamo le società a costruire immunità — a rafforzare le proprie difese. Lo stesso vale per le aziende. Questo è il XXI secolo — l’era della tecnologia. È tempo che le persone accettino la realtà. Se trascuri la tua cybersecurity, potresti essere il prossimo bersaglio. Proteggi la tua infrastruttura. E che pace e prosperità ti trovino. Grazie.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
