Il 1 aprile 2025 la piattaforma ransomware-as-a-service RansomHub è improvvisamente scomparsa dalla scena online, lasciando la sua infrastruttura irraggiungibile e provocando incertezza tra i suoi affiliati. Questo evento ha innescato un’immediata migrazione di affiliati verso altri gruppi di ransomware, in particolare verso Qilin, che ha registrato un raddoppio delle pubblicazioni sul proprio sito di data leak dall’inizio di febbraio. RansomHub, nato nel febbraio 2024, si era rapidamente affermato come protagonista nel panorama RaaS, raccogliendo l’eredità di gruppi come LockBit e BlackCat e attirando affiliati di spicco come Scattered Spider ed Evil Corp grazie a un modello di pagamento molto competitivo.

Il successo di RansomHub era stato favorito anche dall’acquisizione del codice di Knight (ex Cyclops) e dall’implementazione di un encryptor multipiattaforma, compatibile con Windows, Linux, FreeBSD, ESXi e con architetture x86, x64 e ARM. Il gruppo offriva un pannello web per gli affiliati con funzioni avanzate, inclusa una sezione “Members” per la creazione di account separati e un modulo “Killer” per la disattivazione dei software di sicurezza tramite driver vulnerabili. Quest’ultimo modulo è stato però abbandonato a causa del crescente rischio di rilevamento.

Oltre alle classiche tecniche di attacco, RansomHub è stato associato a campagne malware che sfruttavano siti WordPress compromessi per distribuire backdoor Python, spesso attraverso il noto malware SocGholish. Sul piano operativo, il gruppo aveva imposto il divieto assoluto di colpire istituzioni governative, riconoscendo l’alto rischio e la scarsa redditività di tali azioni.

La scomparsa di RansomHub ha generato un clima di agitazione tra gli affiliati, con la rivale

DragonForce

che ha annunciato sul forum RAMP un presunto “passaggio di infrastruttura” di RansomHub sotto il nuovo cartello DragonForce Ransomware. Anche BlackLock ha avviato una collaborazione con DragonForce, mentre il panorama RaaS mostra sempre più segnali di frammentazione e sperimentazione di nuovi modelli, come la possibilità per gli affiliati di creare brand propri.

Nel frattempo, nuove varianti di ransomware come ELENOR-corp, Anubis, CrazyHunter, Elysium, FOG, Hellcat, Hunters International, Interlock e Qilin stanno innovando le strategie di attacco, sfruttando vulnerabilità zero-day, phishing avanzato ed estorsione basata solo sulla minaccia di pubblicazione dei dati. L’analisi delle chat interne di Black Basta ha inoltre evidenziato l’uso di sofisticate tecniche di social engineering e l’escalation tramite vulnerabilità VPN.

Questa evoluzione riflette la crescente flessibilità e resilienza dell’ecosistema ransomware, con attori che si adattano velocemente a operazioni di law enforcement e leak, confermando la necessità di difese proattive e strategie di risposta rapide soprattutto nei settori più a rischio come quello sanitario.