Venerdi 26 Giugno 2026 05:12:29 GMT+02:00

Netcrook

HomeManifesto
News
Corporate Security IncidentsCloud, SaaS & Identity SecurityIndustrial Cybersecurity & Critical InfrastructureCyber Intelligence, TrendsAI Security & Agentic SystemsCyber Intelligence & Threat TrendsCyber WarfareCyber Warfare & Nation-State OperationsCyber CriminalityBreaches & Data LeaksCybercrimeMalware & BotnetsRansomware & ExtortionSecurity Awareness & Social EngineeringLegal PolicyLegal, Policy & Government CybersecurityPrivacy, Regulation & ComplianceTechnology, InnovationTechnology, Innovation & Digital InfrastructureVulnerabilities Patch ManagementResearch, Exploits & Offensive SecurityVulnerabilities & Patch Management
Techcrook
Tutte le tecnologieIdentita e accessoFirewall e reteBackup e archiviazioneEnergia e continuitaPrivacy e sicurezza fisicaLaboratorio e prototipazioneStampa e tracciabilitaTecnologia quotidiana
Geocrook
AfricaAsiaEuropeMiddle EastNorth AmericaOceaniaSouth America
WikicrookTeamAppContatti
ItalianoEnglishArabic
Ransomware ed estorsione

La rivendicazione di DragonForce approda su un dominio web del Bahrain, ma l'intrusione in sé resta ancora non provata

12 Giugno 2026 17:07Ransomware ed estorsioneMedio Oriente / BahrainLOGICFALCON

Un post di branding ransomware che cita drm.bh mostra come i gruppi di estorsione usino elenchi pubblici di vittime come strumenti di pressione, anche quando i fatti tecnici sono ancora scarsi.

Una rivendicazione emersa di recente e collegata a DragonForce indica il dominio drm.bh e associa all'accusa un lungo identificatore simile a un hash. Questo è sufficiente per avviare una revisione difensiva, ma non abbastanza per dimostrare una vera violazione. In questa fase, la lettura più prudente è semplice: si tratta di una rivendicazione ransomware pubblica, non di una prova verificata di intrusione, esfiltrazione o crittografia.

Fatti rapidi

  • DragonForce è il gruppo di minaccia nominato nella rivendicazione.
  • Il bersaglio indicato è drm.bh, con l'etichetta The-DRM.
  • La rivendicazione include l'identificatore f41fac490953740fe9896ac5098faaf8fa60813daa17b95e142837d5d9da831c.
  • Nessun dettaglio pubblico stabilisce dati rubati, interruzioni o l'intera portata di un eventuale incidente.
  • I portali web rivolti al pubblico e i percorsi di amministrazione remota restano aree chiave di rischio ransomware.

DragonForce è rilevante perché si inserisce nel modello moderno del ransomware-as-a-service. La ricerca tecnica ha descritto il gruppo come operativo con una flessibilità in stile affiliato e con funzionalità di estorsione che vanno oltre la semplice crittografia dei file. Nelle operazioni ransomware più ampie, questo di solito significa una cosa: la pressione viene spesso esercitata prima che le prove siano complete. Una vittima nominata, un hash e una rivendicazione in stile leak possono essere sufficienti a creare urgenza per operatori, clienti e team di risposta agli incidenti.

Il dominio drm.bh sembra essere una reale risorsa rivolta ai clienti, ma il collegamento organizzativo che vi sta dietro dovrebbe comunque essere trattato con cautela. Per i difensori, la domanda importante non è solo se una rivendicazione sia vera, ma se il sito esposto o i sistemi correlati abbiano controlli di accesso remoto deboli, credenziali obsolete o una segmentazione scarsa. Sono proprio questi i tipi di condizioni che i gruppi ransomware cercano spesso per primi.

Dal punto di vista tecnico, i controlli di maggior valore sono anche i più pratici: esaminare le superfici di login esposte a Internet, verificare se il desktop remoto o servizi amministrativi simili siano esposti, confermare l'autenticazione multifattore e ispezionare i log alla ricerca di pattern di autenticazione insoliti. Se emergono indicatori di compromissione, l'isolamento e la conservazione dei log vengono prima della pulizia. Il recupero è molto più difficile quando le prove vengono distrutte troppo presto.

Al momento della scrittura, le informazioni pubbliche non hanno stabilito pienamente la causa tecnica alla radice, l'ambito completo degli utenti interessati o se siano stati toccati sistemi a valle. Le informazioni disponibili supportano un'analisi del rischio, non un'attribuzione definitiva di negligenza o di compromissione completa.

Conclusione

La vera lezione qui non è la rivendicazione in sé, ma il modo in cui gli operatori ransomware usano le rivendicazioni come leva. Un singolo post di attribuzione può costringere a una risposta difensiva anche prima che i fatti siano chiariti. Ecco perché controlli di accesso resilienti, backup testati e una gestione disciplinata degli incidenti sono importanti: riducono il potere del teatro dell'attore della minaccia, che spesso è la prima arma che schiera.

TECHCROOK

Chiave di sicurezza hardware: Una piccola chiave USB o NFC aggiunge un secondo fattore fisico per gli accessi, soprattutto per email, VPN, pannelli amministrativi e altri account esposti a Internet. È un modo pratico per ridurre la dipendenza dalle sole password e si adatta bene agli ambienti che necessitano di un controllo degli accessi più forte.

Scheda Techcrook: Chiave di sicurezza hardware

WIKICROOK

  • Ransomware-as-a-Service (RaaS): Un modello in cui gli operatori forniscono malware e infrastruttura agli affiliati in cambio di una quota dei proventi.
  • Doppia estorsione: Una tattica che combina la crittografia con minacce di pubblicare i dati rubati se non viene effettuato il pagamento.
  • Remote Desktop Protocol (RDP): Un servizio di amministrazione remota che diventa rischioso quando è esposto direttamente a Internet.
  • Affiliato: Un partner che esegue attacchi usando gli strumenti di un operatore ransomware e condivide i guadagni.
  • Risposta agli incidenti: Il processo strutturato di contenimento, indagine e recupero da un evento di sicurezza.
LOGICFALCON
AutoreLOGICFALCON

Ransomware ed estorsione