Sinobi
Sinobi è un gruppo di ransomware emerso a metà del 2025 e che ha rapidamente attirato l'attenzione grazie al suo stile operativo disciplinato e alla sua maturità tecnica.
L'origine di Sinobi
Il nome del gruppo è un riferimento stilizzato al termine giapponese shinobi ("ninja"), che riflette l'enfasi posta sulla furtività e la precisione durante le intrusioni. Nonostante questo marchio tematico, l'analisi delle informazioni sulle minacce attribuisce agli operatori di Sinobi origini russe o dell'Europa orientale, sulla base di artefatti linguistici, modelli di attività e comportamenti di elusione degli obiettivi.
Sinobi opera secondo un modello chiuso e ibrido di Ransomware-as-a-Service (RaaS). Un piccolo team centrale gestisce il codice base del ransomware, l'infrastruttura, i portali di negoziazione e le operazioni finanziarie, mentre un gruppo di affiliati accuratamente selezionati conduce le intrusioni. A differenza degli ecosistemi RaaS aperti, Sinobi non recluta pubblicamente affiliati, privilegiando la sicurezza operativa e la fiducia rispetto alla rapida espansione.
Numerose sovrapposizioni tecniche e infrastrutturali indicano che Sinobi è probabilmente un rebranding o il successore diretto del gruppo ransomware Lynx, che a sua volta ha ereditato il codice dal precedente ransomware INC. Il crittografo Sinobi utilizza lo stesso design crittografico derivato da Babuk (Curve25519 ECDH combinato con AES-128-CTR), indicando il riutilizzo del codice e la presenza di sviluppatori esperti. Nel complesso, Sinobi rappresenta un'operazione ransomware motivata da ragioni finanziarie ma altamente professionale, piuttosto che un attore sponsorizzato dallo Stato.
Paesi presi di mira da Sinobi
La maggior parte delle vittime conosciute si trova negli Stati Uniti, con ulteriori attività osservate in Canada, Regno Unito, Australia, Israele e in alcune parti della regione Asia-Pacifico. Sinobi evita sistematicamente le vittime in Russia e nell'Europa orientale, una strategia di autoconservazione comune tra i gruppi di criminali informatici di lingua russa.
Settori industriali interessati da Sinobi
Sinobi prende di mira principalmente le organizzazioni manifatturiere e di produzione industriale, seguite da quelle operanti nei settori dell'edilizia, dell'ingegneria, dei servizi finanziari, della sanità e dell'istruzione. Questi settori sono stati scelti per la loro scarsa tolleranza ai tempi di inattività e per le conseguenze normative o reputazionali derivanti dall'esposizione dei dati. Il gruppo evita le aziende di piccole dimensioni, probabilmente a causa del potenziale di riscatto limitato.
Le vittime di Sinobi
Le vittime sono in genere aziende di medie e grandi dimensioni con un fatturato annuo compreso tra 10 e 50 milioni di dollari. Al terzo trimestre del 2025, circa 40 vittime confermate erano state pubblicate sull'infrastruttura di divulgazione di Sinobi. Non vi sono indicazioni relative a settori protetti, ma gli enti governativi e le infrastrutture nazionali critiche vengono generalmente evitati per limitare l'attenzione delle forze dell'ordine.
Il metodo di attacco di Sinobi
Sinobi ottiene l'accesso iniziale principalmente abusando di credenziali valide, il più delle volte accessi VPN o RDP acquistati da broker di accesso iniziale o raccolti tramite compromissioni precedenti. Sinobi conduce anche phishing per rubare credenziali o distribuire malware sfrutta attivamente le vulnerabilità delle infrastrutture connesse a Internet, inclusi i dispositivi SSL-VPN SonicWall e altri dispositivi perimetrali non aggiornati. In alcuni casi, Sinobi sfrutta l'accesso di terze parti affidabili o MSP per penetrare negli ambienti delle vittime.
Sinobi aumenta i privilegi poco dopo l'accesso iniziale abusando delle funzionalità amministrative integrate in Windows. Sinobi crea frequentemente nuovi account amministratori locali o eleva gli account esistenti per garantire il controllo illimitato sui sistemi compromessi.
Sinobi elude attivamente il rilevamento disabilitando gli strumenti endpoint , modificando le configurazioni dei firewall, cancellando i registri e eliminando i backup. Sinobi compromette anche i meccanismi di ripristino rimuovendo le copie shadow e riducendo la visibilità delle attività degli aggressori.
Sinobi raccoglie le credenziali dai sistemi compromessi per facilitare il movimento laterale. Sebbene non sempre si osservi l'uso di strumenti specifici, Sinobi fa ampio ricorso al riutilizzo delle credenziali e all'accesso amministrativo già presente nell'ambiente.
Sinobi conduce un'ampia ricognizione interna utilizzando script personalizzati e comandi di sistema nativi. Sinobi enumera Active Directory, identifica gli utenti privilegiati, mappa le condivisioni di rete, individua gli strumenti di sicurezza e identifica i server di alto valore come file server, mail server e sistemi di backup.
Sinobi si muove lateralmente attraverso la rete utilizzando RDP e SMB, autenticandosi con credenziali rubate o riutilizzate. Sinobi predilige tecniche living-off-the-land, mescolando attività dannose con traffico amministrativo legittimo per evitare di generare allarmi.
Sinobi raccoglie dati sensibili prima della crittografia, inclusi documenti, database, archivi di posta elettronica e backup. Sinobi dà la priorità alle informazioni che aumentano il potere di ricatto, come la proprietà intellettuale, i dati dei clienti e i registri regolamentati.
Sinobi esegue il payload del ransomware manualmente o tramite distribuzione scriptata una volta completati l'accesso e la raccolta dei dati. L'esecuzione avviene in genere fuori dall'orario di lavoro per ritardare il rilevamento e la risposta.
Sinobi esfiltra i dati rubati utilizzando strumenti legittimi come Rclone o client FTP sicuri. Sinobi trasferisce i dati attraverso canali crittografati, sfruttando spesso infrastrutture basate su Tor o servizi web anonimi per nascondere le destinazioni.
Sinobi crittografa i file utilizzando una crittografia avanzata, aggiunge un'estensione personalizzata, elimina le copie shadow del volume, interrompe i servizi critici e diffonde richieste di riscatto in tutto l'ambiente. Sinobi modifica anche gli sfondi del desktop per garantire la visibilità dell'attacco e avvia una doppia estorsione minacciando la divulgazione dei dati pubblici se il pagamento non viene effettuato.
Sinobi ottiene l'accesso iniziale principalmente abusando di credenziali valide, il più delle volte accessi VPN o RDP acquistati da broker di accesso iniziale o raccolti tramite compromissioni precedenti. Sinobi conduce anche phishing per rubare credenziali o distribuire malware sfrutta attivamente le vulnerabilità delle infrastrutture connesse a Internet, inclusi i dispositivi SSL-VPN SonicWall e altri dispositivi perimetrali non aggiornati. In alcuni casi, Sinobi sfrutta l'accesso di terze parti affidabili o MSP per penetrare negli ambienti delle vittime.
Sinobi aumenta i privilegi poco dopo l'accesso iniziale abusando delle funzionalità amministrative integrate in Windows. Sinobi crea frequentemente nuovi account amministratori locali o eleva gli account esistenti per garantire il controllo illimitato sui sistemi compromessi.
Sinobi elude attivamente il rilevamento disabilitando gli strumenti endpoint , modificando le configurazioni dei firewall, cancellando i registri e eliminando i backup. Sinobi compromette anche i meccanismi di ripristino rimuovendo le copie shadow e riducendo la visibilità delle attività degli aggressori.
Sinobi raccoglie le credenziali dai sistemi compromessi per facilitare il movimento laterale. Sebbene non sempre si osservi l'uso di strumenti specifici, Sinobi fa ampio ricorso al riutilizzo delle credenziali e all'accesso amministrativo già presente nell'ambiente.
Sinobi conduce un'ampia ricognizione interna utilizzando script personalizzati e comandi di sistema nativi. Sinobi enumera Active Directory, identifica gli utenti privilegiati, mappa le condivisioni di rete, individua gli strumenti di sicurezza e identifica i server di alto valore come file server, mail server e sistemi di backup.
Sinobi si muove lateralmente attraverso la rete utilizzando RDP e SMB, autenticandosi con credenziali rubate o riutilizzate. Sinobi predilige tecniche living-off-the-land, mescolando attività dannose con traffico amministrativo legittimo per evitare di generare allarmi.
Sinobi raccoglie dati sensibili prima della crittografia, inclusi documenti, database, archivi di posta elettronica e backup. Sinobi dà la priorità alle informazioni che aumentano il potere di ricatto, come la proprietà intellettuale, i dati dei clienti e i registri regolamentati.
Sinobi esegue il payload del ransomware manualmente o tramite distribuzione scriptata una volta completati l'accesso e la raccolta dei dati. L'esecuzione avviene in genere fuori dall'orario di lavoro per ritardare il rilevamento e la risposta.
Sinobi esfiltra i dati rubati utilizzando strumenti legittimi come Rclone o client FTP sicuri. Sinobi trasferisce i dati attraverso canali crittografati, sfruttando spesso infrastrutture basate su Tor o servizi web anonimi per nascondere le destinazioni.
Sinobi crittografa i file utilizzando una crittografia avanzata, aggiunge un'estensione personalizzata, elimina le copie shadow del volume, interrompe i servizi critici e diffonde richieste di riscatto in tutto l'ambiente. Sinobi modifica anche gli sfondi del desktop per garantire la visibilità dell'attacco e avvia una doppia estorsione minacciando la divulgazione dei dati pubblici se il pagamento non viene effettuato.