Sinobi: Il gruppo ransomware esclusivo e raffinato che vuole essere un ninja

Il marchio di ransomware Sinobi è emerso a metà del 2025 e si è rapidamente distinto attraverso intrusioni calcolate, sicurezza operativa disciplinata e una struttura professionale che rivela operatori altamente qualificati e ben connessi.

Sinobi è un'organizzazione ibrida di ransomware-as-a-service (RaaS). I membri principali collaborano con affiliati ben selezionati per mantenere il controllo centralizzato e una capacità operativa distribuita. Le tecniche del gruppo migliorano man mano che il gruppo matura. Le operazioni di Sinobi si distinguono per intrusioni silenziose, strumenti modulari, obiettivi selettivi e un forte accento sia sulla furtività che sulla leva strategica. Il gruppo è anche noto per il suo uso estensivo e sofisticato di living-off-the-land (LotL) e living-off-the-land binaries (LOLBins).

Ecco una rapida occhiata a questo gruppo:

Nome e posizione

La parola Sinobi sembra essere un riferimento stilizzato deliberato a 'shinobi,' che è un termine giapponese antico per ninja. Le prime comunicazioni interne sui forum del dark web mostravano affiliati che utilizzavano frasi come "in silenzio, fuori silenzio", rafforzando la convinzione che l'identità del marchio sia pensata per proiettare furtività e precisione simili a quelle dei ninja.

Nonostante il nome di ispirazione giapponese, i modelli di comunicazione, le peculiarità linguistiche e le finestre di attività indicano origini russe e dell'Europa orientale. Gli strumenti e le negoziazioni di Sinobi sono condotti principalmente in russo e inglese, senza alcuna prova che suggerisca un'affiliazione statale. Si tratta di un gruppo di criminalità informatica motivato finanziariamente che opera all'interno di un ecosistema regionale familiare. Una ricerca indipendente di Rakesh Krishnan (The Raven File) supporta la localizzazione di almeno un indirizzo IP in Russia:

Sinobi offre specchi clearweb dei suoi siti di fughe di dati e chat nel dark web, ma la maggior parte della sua infrastruttura rimane su risorse basate su TOR, forum del dark web e servizi di messaggistica crittografata come Telegram. Ciò rende difficile visualizzare e catturare gli indirizzi IP dei server di comando e controllo (C2).

Victimologia, operazioni e modello di business

Sinobi non sembra essere allineato con interessi statali o qualsiasi altra ideologia. Il gruppo si concentra su organizzazioni con una tolleranza molto bassa per i tempi di inattività o le perdite di dati. Produzione, servizi aziendali, sanità, servizi finanziari, istruzione e altri settori sono stati tutti vittime di Sinobi. Il gruppo raramente prende di mira aziende più piccole, probabilmente a causa del basso "ritorno sull'investimento (dell'attacco)".

Non ci sono informazioni disponibili pubblicamente su regioni o settori "protetti". Tuttavia, Sinobi si concentra in modo schiacciante su entità negli Stati Uniti, con un focus secondario su Canada, Australia e paesi alleati. Il gruppo evita bersagli che potrebbero suscitare una risposta politica o delle forze dell'ordine, in particolare agenzie governative, servizi pubblici ed entità in tutta la regione dell'Europa orientale.

Sinobi è diverso dai programmi RaaS aperti che consentono agli affiliati di iscriversi o fare domanda per diventare affiliati. Il gruppo si affida a una rete privata e selezionata di specialisti che sono noti al gruppo o vengono introdotti da fonti fidate. Questo approccio consente a Sinobi di evitare attività di reclutamento come questa:

Poiché Sinobi non recluta come altri gruppi RaaS, non esiste un elenco pubblico delle regole del gruppo, dei requisiti per gli affiliati, degli obiettivi vietati o di altri dettagli operativi. Questo riduce l'esposizione del gruppo alle infiltrazioni delle forze dell'ordine e limita l'intelligenza open-source (OSINT) disponibile.

I ricercatori ritengono che gli operatori principali di Sinobi mantengano il codice ransomware e l'infrastruttura basata su Tor, conducano le negoziazioni, gestiscano il riciclaggio di denaro e gli schemi di "cashing out", e facciano rispettare le regole del gruppo. Gli affiliati conducono gli attacchi dall'intrusione fino al dispiegamento del ransomware. Questa divisione delle responsabilità si basa su schemi osservati nelle operazioni di Sinobi, nelle note di riscatto, nelle strutture dei portali e nei processi di negoziazione. Non c'è conferma pubblica di ciò e la suddivisione dei ricavi tra i membri principali e gli affiliati è sconosciuta.

Catena di attacco

Come la maggior parte dei gruppi di minacce ransomware, la catena di attacco di Sinobi inizia con l'ottenimento di accesso iniziale all'ambiente della vittima. È stato osservato che il gruppo utilizza broker di accesso iniziale (IAB), attacchi di phishing tramite kit di phishing standard e sfruttando VPN vulnerabili, appliance firewall o sistemi di accesso remoto come Citrix o Fortinet. Sinobi utilizzerà anche una terza parte compromessa e seguirà una catena di fornitura per infiltrarsi nella vittima.

Gli operatori Sinobi seguono una catena di attacco standard che condivide molti degli stessi schemi osservati in RansomHub, ALPHV/BlackCat e altri gruppi da la fuga di notizie del ransomware Conti.

Una volta all'interno del sistema, Sinobi inizia immediatamente un'intrusione hands-on-keyboard che utilizza sia strumenti personalizzati che l'abuso di living-off-the-land (LotL). Gli attori delle minacce iniziano attività di privilege escalation and security evasion, tra cui la creazione di nuovi account amministratore, la regolazione delle autorizzazioni e la disabilitazione degli strumenti di sicurezza degli endpoint. Iniziano anche a stabilire la persistenza configurando strumenti di accesso remoto legittimi.

Sinobi quindi inserisce uno script di ricognizione leggero che automatizza il movimento laterale e svolge ulteriori attività di evasione della sicurezza. Lo script è configurato per enumerare le informazioni di dominio, individuare le condivisioni di file, identificare gli account privilegiati e controllare le soluzioni di sicurezza degli endpoint che potrebbero interrompere l'attacco ransomware.

L'esfiltrazione dei dati inizia una volta che l'attaccante ha completato la ricognizione e configurato Rclone, WinSCP o qualche altro strumento di trasferimento file. I dati vengono inviati a uno storage cloud o un'altra posizione esterna, e il file binario del ransomware viene eseguito quando questo è completo.

Non esiste un singolo nome di file utilizzato per il file binario del ransomware, ma di solito è un nome generico o offuscato come "bin.exe". Questo file elimina il Cestino, cripta i file, aggiunge l'estensione .SINOBI e deposita la nota di riscatto README.txt in ogni directory con file criptati. Quindi cambia lo sfondo del desktop con un'immagine che visualizza il testo della nota di riscatto.

La richiesta di riscatto include informazioni sul processo di comunicazione e gli URL del sito di leak TOR. Include anche gli URL del sito di leak pubblico sul clear web. Puoi vedere la richiesta di riscatto nella sua interezza qui.

A questo punto, l'affiliato Sinobi permetterà al gruppo principale di prendere il controllo e gestire le comunicazioni, le perdite di dati, ecc.

Estorsione e negoziazione

Sinobi è iniziato come un'operazione di singola estorsione, ma entro la fine del 2024 è passato a un approccio completo di doppia estorsione utilizzando un sito di leak ospitato su Tor. Le vittime vengono generalmente contattate tramite la nota di riscatto menzionata sopra. Se le vittime non rispondono, Sinobi intensifica la situazione pubblicando campioni di dati e contattando dipendenti o clienti. Il gruppo minaccerà anche l'azienda con l'esposizione normativa ai sensi di framework come GDPR, HIPAA o requisiti di divulgazione della SEC.

Le negoziazioni sono gestite da un piccolo gruppo di operatori principali che utilizzano modelli di comunicazione predefiniti e tattiche di pressione adattate al settore e alla posizione normativa della vittima. L'obiettivo è sempre quello di creare urgenza, non panico—manipolazione professionale piuttosto che caos.

Amici e famiglia

La storia di Sinobi inizia a metà del 2023 quando un attore di minacce noto come INC ransomware è emerso apparentemente dal nulla. INC si pensa sia un gruppo originale senza legami con altri attori di minacce. Ha operato come gruppo ransomware-as-a-service fino a maggio 2024, quando è stato messo in vendita su forum sotterranei.

Poco dopo la (presunta) vendita, il design del sito di leak INC è stato cambiato in questo stile:

L'attività di INC è diminuita e un nuovo gruppo chiamato Lynx è emerso nello stesso periodo. Non c'è conferma che gli operatori di Lynx abbiano acquistato il codice sorgente di INC, ma Lynx è chiaramente un successore di INC.

Un attento esame ... una notevole sovrapposizione nelle funzioni condivise suggerisce fortemente che gli sviluppatori del ransomware Lynx abbiano preso in prestito e riutilizzato una considerevole porzione del codice base di INC per creare il proprio software dannoso. Via Unit42

Lynx è stata una minaccia attiva e aggressiva per circa un anno, per poi ridurre le sue attività a metà del 2025. Il gruppo rimane una minaccia, ma la sua attività è diminuita intorno al periodo in cui Sinobi è emerso a giugno 2025.

Si ritiene ampiamente che Sinobi sia un rebranding, un successore o una derivazione del ransomware Lynx. Il design del sito delle fughe di Lynx è solo una delle prove a sostegno di questo:

Puoi vedere le somiglianze tra i siti di leak di INC, Lynx e Sinobi.

Oltre a questo, ci sono somiglianze nella routine di crittografia, vittimologia, metodologia di doppia estorsione e procedure operative.

Sinobi sfrutta appieno l'ecosistema delle minacce. Acquista regolarmente accesso da IAB, noleggia infrastrutture da bulletproof hosting providers, acquista credenziali da mercati darknet e occasionalmente collabora con operatori di botnet per la distribuzione di phishing. Le loro pratiche di riciclaggio e incasso sono indistinguibili da quelle utilizzate da Qilin e Akira.

Proteggiti

Tutti gli indicatori suggeriscono che Sinobi è su una traiettoria di crescita. Man mano che il mercato del ransomware continua a frammentarsi ed evolversi, Sinobi è ben posizionata per espandere la sua base di affiliati, rafforzare i suoi strumenti e potenzialmente aggiungere varianti mirate a Linux o VMware ESXi. Il loro professionismo discreto e la frequenza di pubblicazione moderata indicano un gruppo che preferisce un reddito sostenibile rispetto a una crescita esplosiva, il che potrebbe aiutarli a evitare il destino dei gruppi di alto profilo che attirano pressioni aggressive dalle forze dell'ordine.

Sinobi rappresenta una minaccia ransomware avanzata e agile. Le organizzazioni possono ridurre significativamente il rischio concentrandosi sulla gestione delle credenziali, sulla consapevolezza dei dipendenti, sul monitoraggio proattivo e sugli investimenti continui in flussi di lavoro di backup, rilevamento e risposta. La prevenzione e la risposta rapida sono attualmente i mezzi più efficaci per difendersi da questa minaccia.

Barracuda può aiutarvi

Massimizza la tua protezione e resilienza informatica con la piattaforma di cybersecurity BarracudaONE basata su IA. La piattaforma protegge le tue e-mail, dati, applicazioni e reti, ed è rafforzata da un servizio XDR gestito 24 ore su 24, 7 giorni su 7, unificando le tue difese di sicurezza e fornendo un rilevamento e una risposta alle minacce approfonditi e intelligenti. Gestisci la postura di sicurezza della tua organizzazione con fiducia, sfruttando la protezione avanzata, analisi in tempo reale e capacità di risposta proattiva. Strumenti di reporting robusti forniscono informazioni chiare e attuabili, aiutandoti a monitorare i rischi, misurare il ROI e dimostrare l'impatto operativo. Non perdere l'opportunità di ottenere una demo della piattaforma dai nostri esperti di cybersecurity.