Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il gruppo ransomware 'The Gentlemen' ha ottimizzato le proprie operazioni utilizzando modelli di linguaggio (LLM) per automatizzare l'analisi dei dati, sviluppare rapidamente piattaforme di negoziazione e potenziare l'ingegneria sociale. Questo approccio ha permesso al gruppo di superare vecchi limiti logistici e di sicurezza, rendendo indispensabile una difesa proattiva contro le minacce evolute.
Le recenti indagini hanno evidenziato un cambiamento significativo nelle strategie operative dei gruppi ransomware, riporta il CERT-AgID, grazie all’adozione dei modelli di linguaggio (LLM) da parte della criminalità informatica.
Un esempio è il RaaS “The Gentlemen”. Il cartello criminale, in meno di un anno ha rivendicato ben oltre 500 vittime ottimizzando i propri flussi di lavoro tramite IA.
L’integrazione degli LLM nelle operazioni cyber criminali non è più solo pura teoria, ma rappresenta un vero e proprio moltiplicatore di efficacia. Il gruppo ha ottimizzato le quattro fasi chiave del ciclo di attacco: analisi automatizzata dei dati, sviluppo rapido della piattaforma di negoziazione, ingegneria sociale e apprendimento tattico dai leak concorrenti.
Fino a poco tempo fa, l’analisi di centinaia di gigabyte di dati esfiltrati dalle infrastrutture delle vittime, richiedeva giorni o settimane di lavoro manuale. Ora, “The Gentlemen” utilizza modelli open-weight, come ad esempio il famoso Qwen, per elaborare enormi dataset in pochi minuti, isolando credenziali e informazioni sensibili con velocità e precisione.
La piattaforma di negoziazione è stata sviluppata in soli tre giorni grazie a tecniche di vibe-coding basate utilizzando gli LLM. Questo approccio, riduce in modo drastico i tempi di implementazione del software e parallelamente permette anche ai piccoli gruppi di operare con grande efficienza.
L’ingegneria sociale è ulteriormente potenziata dall’IA, che alimenta i prompt per strutturare e personalizzare le e-mail di ricatto e i tentativi di contatto telefonico. Inoltre, il gruppo ha utilizzato dati confidenziali sottratti ad altre organizzazioni cybercriminali come Black Basta per fare fine-tuning dei propri modelli LLM, assimilando all’istante le migliori tattiche di negoziazione e metodologie di attacco.
Il modello di “The Gentlemen” è basato su un servizio Ransomware-as-a-Service (RaaS), e offre agli affiliati il 90% dei proventi dei riscatti. Il vettore di accesso principale è rappresentato dall’acquisto di credenziali sottratte tramite infostealer. In assenza di queste credenziali, gli attori malevoli, scansionano la rete per rilevare vulnerabilità note e non patchate su apparati Cisco e Fortinet.
La minaccia si concretizza con l’esecuzione del ransomware distribuito in cinque varianti (Windows, Linux, ESXi). La versione scritta in Go include il parametro –spread che converte il payload in un worm autoreplicante, capace di automatizzare la cifratura dell’intera rete aziendale sfruttando i movimenti laterali.
L’evoluzione di “The Gentlemen” mostra come l’AI e l’agilità strategica permetta a gang criminali di superare i vecchi limiti logistici e di sicurezza. Le strategie cambiano, e questo lo abbiamo visto quando un data leak ha esposto le loro chat interne a maggio 2026. Il gruppo ha reagito all’istante migrando verso piattaforme decentralizzate.
Questa capacità di riorganizzarsi e sviluppare tool in tempi record azzera i tempi morti degli attaccanti. Di conseguenza, la semplice reazione all’incidente non è più sufficiente: diventa indispensabile una difesa proattiva basata su azioni immediate.
Implementare politiche di aggiornamento tempestivo per tutti i dispositivi esposti direttamente su internet, integrare feed di Threat Intelligence automatizzati all’interno dei sistemi di monitoraggio, permettendo di intercettare le comunicazioni con i server di comando e controllo (C2) e bloccare le attività prima che venga avviata l’esfiltrazione o la cifratura.
Qualsiasi infezione da infostealer va trattata come una violazione di perimetro già avvenuta: è necessario invalidare immediatamente tutte le sessioni web attive, revocare i token di autenticazione e forzare il reset di tutte le credenziali memorizzate sul sistema compromesso, implementando l’autenticazione a più fattori (MFA).
QUATTRO LEZIONI PER COMPRENDERE IL DARKWEB ED ENTRARE DA PROTAGONISTI NELLA CYBER THREAT INTELLIGENCE.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]
Dopo il successo delle scorse edizioni, Red Hot Cyber è lieta di annunciare una nuova live-class del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi e-learning pre-registrati, queste lezioni online in tempo reale, condotte dal professor Pietro Melillo, offrono un’esperienza formativa interattiva e coinvolgente, ideale per approfondire i contenuti e affrontare casi pratici.
Le Live Class sono progettate per garantire un apprendimento mirato e personalizzato, con un massimo di 14 partecipanti per sessione. Questo consente di adattare il percorso formativo alle esigenze specifiche, ma anche di mantenere alta la qualità: i posti sono limitati e nelle scorse edizioni sono andati in sold-out due settimane prima dell’inizio. Prenota subito per assicurarti il tuo posto!
Risorse online:
Al termine del corso, potrai accedere all’esclusivo Laboratorio di Intelligence DarkLab, un ambiente operativo dove mettere in pratica le competenze acquisite. Sarà l’occasione per sperimentare attività di investigazione nel Dark Web, analisi delle minacce e redazione di report di intelligence e ricerche approfondite.
Per info e iscrizioni: 📱 Whatsapp 379 163 8765 ✉️ [email protected]