Netcrook Logo
👤 SECPULSE
🗓️ 29 Jan 2026   🗂️ Cyber Warfare     🌍 North America

Operazione Lockdown: l’FBI smantella RAMP, l’ultimo baluardo del ransomware

In un’azione rara, le forze dell’ordine statunitensi prendono il controllo di RAMP, il forum di cybercrime noto per dare rifugio a gang ransomware e broker di malware.

Era il luogo in cui il ransomware regnava sovrano, un bazar digitale dove i cybercriminali scambiavano apertamente dati rubati, malware e accessi a reti compromesse. Ma in un colpo di scena drammatico, l’FBI ha ora sequestrato RAMP - l’ultimo grande forum che permetteva sfacciatamente affari legati al ransomware - mandando onde d’urto nel sottobosco globale.

L’ascesa e la caduta di RAMP

La storia di RAMP è un racconto della costante evoluzione del cybercrime. Il suo nome emerse per la prima volta nei primi anni 2010 come Russian Anonymous Marketplace - un bazar di droga, non un ritrovo di hacker. Quell’incarnazione fu chiusa dalle autorità russe nel 2017. Ma a metà del 2021, un nuovo RAMP è risorto dalle ceneri, questa volta come rifugio per operatori di ransomware e initial access broker che altrove non erano più i benvenuti.

A differenza dei concorrenti più prudenti, RAMP abbracciò il proprio status da fuorilegge, pubblicizzandosi come “The Only Place Ransomware Allowed”. Mentre forum come Exploit e XSS cedevano alla pressione delle forze dell’ordine e vietavano le discussioni sul ransomware, RAMP spalancava le porte, attirando un chi è chi del cybercrimine - affiliati ransomware, sviluppatori di malware e venditori di accessi a reti aziendali.

Dietro le quinte c’era “Orange”, un threat actor legato al gruppo ransomware Babuk e poi smascherato come Mikhail Matveev. Dopo controversie e scissioni nell’operazione Babuk, Orange riutilizzò l’infrastruttura di Babuk per lanciare RAMP. Nonostante attacchi DDoS e faide continue, il forum prosperò, diventando un hub centrale per il reclutamento ransomware, l’estorsione di dati e il commercio illecito.

Il sequestro

Il 28 gennaio 2026, sia i domini clearnet sia quelli Tor di RAMP sono stati sostituiti da un avviso di sequestro dell’FBI - che, in tono beffardo, riprendeva lo stesso slogan di RAMP e un cartone animato ammiccante. L’FBI e il Dipartimento di Giustizia, lavorando con l’Ufficio del Procuratore degli Stati Uniti per il Distretto Meridionale della Florida, hanno assunto il pieno controllo, reindirizzando i nameserver dei domini verso un’infrastruttura dell’FBI.

Nel sottobosco, la notizia è stata confermata da un utente noto come “Stallman”, ritenuto un insider di RAMP, che ha lamentato la fine del forum e ammesso che le forze dell’ordine avevano accesso totale. Con i server del forum nelle mani dell’FBI, gli investigatori dispongono ora di un tesoro di potenziali prove: email degli utenti, indirizzi IP, messaggi privati e registri delle transazioni. Per chi ha trascurato la sicurezza operativa, il rischio di identificazione - e di incriminazione - è ora molto reale.

Eppure, al momento in cui scriviamo, non sono stati annunciati arresti ufficiali. Il portale IC3 dell’FBI sta attivamente sollecitando segnalazioni sulle attività criminali di RAMP, suggerendo indagini in corso e possibili future strette.

Cosa succede adesso?

Il sequestro di RAMP segna la fine di una rara enclave per gli operatori di ransomware, ma la storia mostra che quando un marketplace cade, spesso altri si alzano per prenderne il posto. Resta da vedere se questo colpo porterà ad arresti di rilievo o se spingerà semplicemente l’attività ancora più in profondità nel sottosuolo. Per ora, le forze dell’ordine hanno ottenuto una vittoria pubblica nelle guerre del cybercrimine - e inviato un messaggio raggelante a chi crede ancora nei rifugi digitali.

WIKICROOK

  • Clearnet: La clearnet è la parte di internet accessibile apertamente, disponibile a chiunque utilizzi browser standard, a differenza delle reti nascoste che richiedono accessi speciali.
  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
  • Initial Access Broker (IAB): Un Initial Access Broker è un cybercriminale che viola i sistemi e vende quell’accesso ad altri, consentendo ulteriori attacchi informatici.
  • DDoS (Distributed Denial: Un attacco DDoS sovraccarica un servizio online con traffico proveniente da molte fonti, rendendolo lento o non disponibile per gli utenti reali.
  • Operational Security (Opsec): La sicurezza operativa (OpSec) è la pratica di proteggere informazioni e attività sensibili dall’essere scoperte o sfruttate da avversari.
FBI RAMP ransomware
SECPULSE SECPULSE
SOC Detection Lead
← Back to news