Il ransomware sta assumendo di nuovo, e la proposta diventa sempre più precisa
Si dice che The Gentlemen RaaS sia collegato a 166 vittime mentre nuovi operatori reclutano pubblicamente affiliati, un segnale che il ransomware viene sempre più venduto come un mercato del lavoro più che come un semplice kit di strumenti.
La parte più rivelatrice dell'ecosistema ransomware di oggi non è sempre la routine di cifratura. È la proposta di reclutamento. Un conteggio riportato di 166 vittime per The Gentlemen RaaS si affianca a nuovi appelli pubblici per affiliati, mostrando come queste crew competano per operatori con accesso, tecniche operative e capacità di raggiungere gli obiettivi.
Fatti rapidi
- Si dice che The Gentlemen RaaS abbia raggiunto 166 vittime.
- Nello stesso periodo, due nuovi attori RaaS hanno reclutato pubblicamente affiliati.
- Un soggetto con l'handle hyflock123 avrebbe pubblicato un thread di reclutamento su Duty-Free il 14 maggio.
- Quel soggetto ha affermato di aver lavorato in passato con LockBit e Qilin prima di lanciare Hyflock.
- Nel RaaS, gli operatori forniscono il malware e l'infrastruttura mentre gli affiliati gestiscono gran parte del lavoro di intrusione.
Perché la corsa agli affiliati conta
Il Ransomware-as-a-Service abbassa la barriera d'ingresso separando il prodotto dall'esecuzione. Gli operatori principali possono concentrarsi sulla costruzione di tool, leak site, sistemi di pagamento e canali di supporto, mentre gli affiliati portano accesso o competenze di intrusione. Questa divisione è il motivo per cui reputazione, condizioni di pagamento e facilità d'uso contano così tanto. Un gruppo in grado di attirare più affiliati può scalare più rapidamente di uno che dispone solo di codice migliore.
Il reclutamento riportato da hyflock123 si inserisce in uno schema comune del sottobosco criminale: operatori che cercano di prendere in prestito credibilità. Le affermazioni di aver lavorato in passato con marchi ransomware noti possono essere pensate per segnalare esperienza, ma non sono una prova di una reale affiliazione. In pratica, la costruzione di una persona fa parte del modello di business. Nomi, handle e branding spesso funzionano come asset di marketing in un mercato in cui la fiducia è scarsa e il ricambio è alto.
Questo aiuta anche a spiegare perché conta il numero di vittime. Anche quando una cifra è solo un dato riportato, può influenzare il modo in cui un'operazione viene percepita da potenziali affiliati. Un conteggio più alto può suggerire monetizzazione costante, infrastruttura affidabile o supporto efficace, tutti elementi che possono rendere una crew più attraente per i criminali che devono decidere dove investire i propri sforzi.
Cosa dovrebbero trarne i difensori
Dal punto di vista difensivo, l'avvertimento non è legato a un singolo marchio. È la pressione competitiva dietro il mercato. I nuovi entranti e i gruppi scissionisti possono muoversi rapidamente, riutilizzare percorsi di accesso noti e puntare le vittime con un reclutamento aggressivo. Questo può tradursi in più campagne, più sperimentazione e maggiore varietà nelle tecniche di accesso iniziale ed estorsione.
Nelle operazioni ransomware più ampie, il furto di credenziali, i servizi remoti esposti e l'abuso degli accessi amministrativi restano vie ricorrenti verso le reti aziendali. Una volta dentro, gli aggressori spesso puntano alla velocità: escalation dei privilegi, movimento laterale e pressione sui backup o sui controlli di ripristino. Questi passaggi sono determinati dalle opportunità e dagli strumenti, non solo dal nome della famiglia nella nota di riscatto.
La lettura più prudente di questo caso è semplice. Il ransomware non è più solo malware. È un mercato organizzato con venditori, reclutatori e concorrenti, e ogni nuova proposta per affiliati ricorda che i difensori stanno affrontando un'economia, non una singola gang.
Conclusione
La lezione più ampia è che la forza del ransomware si misura sempre più in termini di reclutamento, logistica e credibilità, tanto quanto in termini di novità tecnica. Se il sottobosco continua a premiare la scala, i difensori dovranno affrontare un ricambio più rapido, più branding e più pressione sugli stessi punti deboli. Le persone che controllano l'accesso contano ancora di più.
TECHCROOK
Unità di backup esterna: Un'unità separata per backup offline regolari può rendere il ripristino più semplice dopo un evento ransomware. Tienila scollegata quando non è in uso e verifica che i file vengano ripristinati correttamente.
WIKICROOK
- Ransomware-as-a-Service (RaaS): Un modello di business criminale in cui gli operatori forniscono strumenti e infrastruttura ransomware agli affiliati in cambio di una quota dei profitti.
- Affiliate: Un operatore che utilizza le risorse ransomware fornite per eseguire intrusioni, distribuzione o estorsione.
- Accesso iniziale: Il primo punto d'appoggio in una rete bersaglio, spesso ottenuto tramite credenziali rubate, servizi esposti o phishing.
- Evasione delle difese: Tecniche usate per evitare il rilevamento, disturbare gli strumenti di sicurezza o nascondere attività malevole durante un'intrusione.
- Host di virtualizzazione: Un server che esegue più macchine virtuali, come VMware ESXi, e che può essere un obiettivo di alto valore negli attacchi ransomware.




