Sinobi
Sinobi è un gruppo di ransomware emerso a metà del 2025 che ha rapidamente attirato l'attenzione grazie al suo stile operativo rigoroso e alla sua maturità tecnica.
L'origine di Sinobi
Il nome del gruppo è un riferimento stilizzato al termine giapponese shinobi (“ninja”), che riflette l’enfasi posta sulla furtività e sulla precisione durante le intrusioni. Nonostante questa scelta tematica, l’analisi delle informazioni sulle minacce attribuisce agli operatori di Sinobi origini russe o dell’Europa orientale, sulla base di indizi linguistici, modelli di attività e comportamenti volti a eludere i controlli.
Sinobi opera secondo un modello chiuso e ibrido di Ransomware-as-a-Service (RaaS). Un piccolo team centrale si occupa della gestione del codice del ransomware, dell'infrastruttura, dei portali di negoziazione e delle operazioni finanziarie, mentre un gruppo di affiliati accuratamente selezionati si occupa delle intrusioni. A differenza degli ecosistemi RaaS aperti, Sinobi non recluta pubblicamente affiliati, privilegiando la sicurezza operativa e la fiducia rispetto a una rapida espansione.
Numerose somiglianze tecniche e infrastrutturali indicano che Sinobi sia probabilmente un rebranding o il diretto successore del gruppo di ransomware Lynx, che a sua volta aveva ereditato il codice dal precedente ransomware INC. Il programma di crittografia di Sinobi utilizza lo stesso schema crittografico derivato da Babuk (Curve25519 ECDH combinato con AES-128-CTR), il che denota un riutilizzo del codice e la presenza di sviluppatori esperti. Nel complesso, Sinobi rappresenta un'operazione ransomware motivata da ragioni finanziarie ma altamente professionale, piuttosto che un attore sponsorizzato dallo Stato.
Paesi di riferimento di Sinobi
La maggior parte delle vittime conosciute si trova negli Stati Uniti, mentre si registrano ulteriori attività in Canada, nel Regno Unito, in Australia, in Israele e in alcune zone della regione Asia-Pacifico. Sinobi evita sistematicamente le vittime in Russia e nell'Europa orientale, una strategia di autoconservazione comune tra i gruppi di criminali informatici di lingua russa.
Settori di riferimento di Sinobi
Sinobi prende di mira principalmente le aziende del settore manifatturiero e della produzione industriale, seguite da quelle dei settori edile, ingegneristico, dei servizi finanziari, sanitario e dell'istruzione. Questi settori sono stati scelti in quanto presentano una bassa tolleranza ai tempi di inattività e per le conseguenze normative o reputazionali derivanti dalla divulgazione dei dati. Il gruppo evita le imprese di piccolissime dimensioni, probabilmente a causa del limitato potenziale di riscatto.
Le vittime di Sinobi
Le vittime sono in genere imprese di medie e grandi dimensioni con un fatturato annuo compreso tra i 10 e i 50 milioni di dollari. Al terzo trimestre del 2025, sull'infrastruttura di divulgazione di Sinobi erano state pubblicate circa 40 vittime confermate. Non vi sono indicazioni relative a settori protetti, ma gli enti governativi e le infrastrutture nazionali critiche vengono generalmente evitati per limitare l'attenzione delle forze dell'ordine.
Il metodo di attacco di Sinobi
Sinobi ottiene l'accesso iniziale principalmente sfruttando credenziali valide, il più delle volte dati di accesso a VPN o RDP acquistati da broker di accesso iniziale o raccolti tramite precedenti violazioni. Sinobi conduce inoltre phishing per sottrarre credenziali o distribuire malware sfrutta attivamente le vulnerabilità presenti nelle infrastrutture esposte a Internet, tra cui i dispositivi SSL-VPN SonicWall e altri dispositivi perimetrali privi di patch. In alcuni casi, Sinobi sfrutta l'accesso di terze parti o di MSP affidabili per espandersi all'interno degli ambienti delle vittime.
Sinobi ottiene privilegi elevati poco dopo l'accesso iniziale sfruttando le funzionalità amministrative integrate in Windows. Sinobi crea spesso nuovi account amministratore locali o eleva i privilegi degli account esistenti per assicurarsi il controllo illimitato sui sistemi compromessi.
Sinobi elude attivamente il rilevamento disabilitando gli strumenti endpoint , modificando le configurazioni dei firewall, cancellando i registri e eliminando i backup. Sinobi compromette inoltre i meccanismi di ripristino rimuovendo le copie shadow e riducendo la visibilità sulle attività degli autori degli attacchi.
Sinobi raccoglie le credenziali dai sistemi compromessi per facilitare il movimento laterale. Sebbene non si riscontri sempre l'uso di strumenti specifici, Sinobi fa ampio ricorso al riutilizzo delle credenziali e agli accessi amministrativi già presenti nell'ambiente.
Sinobi esegue un'approfondita ricognizione interna utilizzando script personalizzati e comandi di sistema nativi. Sinobi esegue l'enumerazione di Active Directory, identifica gli utenti con privilegi, mappa le condivisioni di rete, individua gli strumenti di sicurezza e identifica i server di alto valore, quali file server, server di posta e sistemi di backup.
Sinobi si muove lateralmente all'interno della rete utilizzando RDP e SMB, autenticandosi con credenziali rubate o riutilizzate. Sinobi predilige tecniche "living-off-the-land", mimetizzando le attività dannose nel traffico amministrativo legittimo per evitare di far scattare gli allarmi.
Sinobi raccoglie dati sensibili prima della crittografia, tra cui documenti, database, archivi di posta elettronica e backup. Sinobi dà la priorità alle informazioni che aumentano il potere di ricatto, come la proprietà intellettuale, i dati dei clienti e i documenti soggetti a normative.
Sinobi esegue il payload del ransomware manualmente o tramite uno script una volta ottenuti gli accessi necessari e completata la raccolta dei dati. L'esecuzione avviene solitamente fuori dall'orario di lavoro per ritardare il rilevamento e la risposta.
Sinobi trasferisce i dati rubati utilizzando strumenti legittimi come Rclone o client FTP sicuri. Sinobi trasferisce i dati tramite canali crittografati, avvalendosi spesso di infrastrutture basate su Tor o di servizi web anonimizzati per nascondere le destinazioni.
Sinobi crittografa i file utilizzando un sistema crittografico avanzato, aggiunge un'estensione personalizzata, elimina le copie shadow dei volumi, interrompe i servizi critici e distribuisce richieste di riscatto in tutto l'ambiente. Sinobi modifica inoltre gli sfondi del desktop per garantire la visibilità dell'attacco e avvia una doppia estorsione minacciando di divulgare pubblicamente i dati se il pagamento non viene effettuato.
Sinobi ottiene l'accesso iniziale principalmente sfruttando credenziali valide, il più delle volte dati di accesso a VPN o RDP acquistati da broker di accesso iniziale o raccolti tramite precedenti violazioni. Sinobi conduce inoltre phishing per sottrarre credenziali o distribuire malware sfrutta attivamente le vulnerabilità presenti nelle infrastrutture esposte a Internet, tra cui i dispositivi SSL-VPN SonicWall e altri dispositivi perimetrali privi di patch. In alcuni casi, Sinobi sfrutta l'accesso di terze parti o di MSP affidabili per espandersi all'interno degli ambienti delle vittime.
Sinobi ottiene privilegi elevati poco dopo l'accesso iniziale sfruttando le funzionalità amministrative integrate in Windows. Sinobi crea spesso nuovi account amministratore locali o eleva i privilegi degli account esistenti per assicurarsi il controllo illimitato sui sistemi compromessi.
Sinobi elude attivamente il rilevamento disabilitando gli strumenti endpoint , modificando le configurazioni dei firewall, cancellando i registri e eliminando i backup. Sinobi compromette inoltre i meccanismi di ripristino rimuovendo le copie shadow e riducendo la visibilità sulle attività degli autori degli attacchi.
Sinobi raccoglie le credenziali dai sistemi compromessi per facilitare il movimento laterale. Sebbene non si riscontri sempre l'uso di strumenti specifici, Sinobi fa ampio ricorso al riutilizzo delle credenziali e agli accessi amministrativi già presenti nell'ambiente.
Sinobi esegue un'approfondita ricognizione interna utilizzando script personalizzati e comandi di sistema nativi. Sinobi esegue l'enumerazione di Active Directory, identifica gli utenti con privilegi, mappa le condivisioni di rete, individua gli strumenti di sicurezza e identifica i server di alto valore, quali file server, server di posta e sistemi di backup.
Sinobi si muove lateralmente all'interno della rete utilizzando RDP e SMB, autenticandosi con credenziali rubate o riutilizzate. Sinobi predilige tecniche "living-off-the-land", mimetizzando le attività dannose nel traffico amministrativo legittimo per evitare di far scattare gli allarmi.
Sinobi raccoglie dati sensibili prima della crittografia, tra cui documenti, database, archivi di posta elettronica e backup. Sinobi dà la priorità alle informazioni che aumentano il potere di ricatto, come la proprietà intellettuale, i dati dei clienti e i documenti soggetti a normative.
Sinobi esegue il payload del ransomware manualmente o tramite uno script una volta ottenuti gli accessi necessari e completata la raccolta dei dati. L'esecuzione avviene solitamente fuori dall'orario di lavoro per ritardare il rilevamento e la risposta.
Sinobi trasferisce i dati rubati utilizzando strumenti legittimi come Rclone o client FTP sicuri. Sinobi trasferisce i dati tramite canali crittografati, avvalendosi spesso di infrastrutture basate su Tor o di servizi web anonimizzati per nascondere le destinazioni.
Sinobi crittografa i file utilizzando un sistema crittografico avanzato, aggiunge un'estensione personalizzata, elimina le copie shadow dei volumi, interrompe i servizi critici e distribuisce richieste di riscatto in tutto l'ambiente. Sinobi modifica inoltre gli sfondi del desktop per garantire la visibilità dell'attacco e avvia una doppia estorsione minacciando di divulgare pubblicamente i dati se il pagamento non viene effettuato.