Database Note di Riscatto Ransomware 2026: Identifica Chi ti ha Colpito

CyberLord Threat Intel

Database Note di Riscatto Ransomware 2026: Identifica Chi ti ha Colpito

Il momento peggiore per un IT Manager: lunedì mattina, i telefoni squillano, "non riesco ad aprire i file". Accedi al server e vedi che tutti i documenti hanno estensioni strane: .locked, .enc, .play. E in ogni cartella trovi un file di testo: RESTORE_FILES.txt.

Questa è la Ransom Note (Nota di Riscatto).

Per quanto spaventosa, è un documento forense fondamentale. Analizzandola, possiamo capire CHI è l'attaccante. E conoscere il nemico è il primo passo per decidere se combattere o negoziare.

Ecco i profili dei gruppi più attivi in Italia nel 2025/2026.

1. LockBit 4.0 / 5.0 (Il "Re" del Mercato)

Diffusione: Molto Alta in Italia. Target: Tutti (PMI, Ospedali, PA). Estensione File: .lockbit, .lb, o stringhe casuali. Nome Nota: RESTORE-MY-FILES.txt

Analisi della Nota: LockBit scrive in modo professionale, quasi aziendale. "I tuoi dati sono stati rubati e criptati. Ma non preoccuparti, possiamo restituirli. Trattaci come un pentester che hai dimenticato di pagare."

Caratteristiche uniche:

  • Offrono la decifrazione gratuita di 1 file come "prova di vita".
  • Hanno un sito web su Tor molto curato, con una chat di supporto live.
  • Minacciano la pubblicazione dei dati ("Data Leak") con un conto alla rovescia preciso.

Verdetto: Sono criminali affidabili (nel senso che se paghi, di solito danno la chiave). Ma sono costosi.

2. Akira

Diffusione: In crescita vertiginosa. Target: Aziende con VPN Cisco non aggiornate. Estensione File: .akira Nome Nota: akira_readme.txt

Analisi della Nota: Stile "Retro" anni '80 (comandi terminale verde su nero). La nota è breve e diretta: "Se vuoi riavere i tuoi dati, contattaci." Il loro sito di negoziazione sembra un vecchio computer vintage.

Verdetto: Molto pericolosi perché spesso corrompono i file di grandi dimensioni (Database SQL, VHDX) durante la cifratura, rendendoli inutilizzabili anche dopo il pagamento.

3. BlackCat (ALPHV)

Diffusione: Alta (colpisce bersagli di alto profilo). Estensione File: Casuale (es: .b74k1). Nome Nota: RECOVER-[RANDOM]-FILES.txt o cambio sfondo desktop.

Analisi della Nota: Molto aggressiva. Spesso include una lista dei dati sensibili che hanno rubato per metterti pressione psicologica. "Abbiamo i tuoi report finanziari e i dati personali dei clienti. Paga o li mandiamo ai tuoi concorrenti e al Garante Privacy."

Verdetto: Tecnicamente avanzati (scritti in Rust). Difficili da decifrare senza pagare.

4. Phobos / Dharma

Diffusione: Medio-Bassa (colpiscono piccole realtà). Estensione File: .id[ID].[email].phobos Nome Nota: info.txt, info.hta

Analisi della Nota: Meno professionale. Spesso chiedono di contattarli via email (es: hacker@protonmail.com) invece che su Tor. Chiedono riscatti più bassi (5.000 - 20.000 €).

Verdetto: Spesso gli indirizzi email vengono bloccati dai provider, rendendo impossibile contattarli. Rischio alto di perdere tutto.

Cosa Fare se Trovate una Nota

1. NON Spegnere il Server

Se la cifratura è in corso, stacca il cavo di rete (LAN) ma lascia il server acceso. Spegnere di colpo può corrompere i file in scrittura e cancellare le chiavi dalla RAM.

2. NON Contattare Subito gli Hacker

Aprire il link Tor o mandare una mail segnala che siete "vivi" e state leggendo. Vi identifica tramite IP (se non usate protezioni) e rivela la vostra ansia. Lasciate che se ne occupi un negoziatore professionista.

3. Usare "ID Ransomware"

Il sito ID Ransomware (gestito dalla community security) è la Bibbia. Caricate la nota di riscatto e un file criptato. Il sistema vi dirà:

  • Il nome esatto della variante.
  • Se esiste un decryptor gratuito (molto raro per le versioni nuove, ma possibile per quelle vecchie).

4. Consultare Esperti

Prima di pensare di pagare (o di formattare tutto), chiamate una società di Incident Response (come Cyberlord). Possiamo analizzare il ceppo virale e dirvi se ci sono bug che permettono il recupero senza pagare, o se i backup sono recuperabili.

Conclusione

La nota di riscatto non è la fine. È l'inizio della fase di risposta all'incidente. Mantieni la calma, raccogli le prove e non prendere decisioni affrettate guidate dalla paura.

Hai bisogno di aiuto urgente? Contatta il nostro CSIRT h24

Panoramica

Decisioni chiave, rischi e azioni di implementazione per questo argomento.