Netcrook Logo
👤 SECPULSE
🗓️ 20 Jan 2026   🗂️ Cyber Warfare     🌍 North America

Cibo, fairway e ghiaccio: il ransomware Play colpisce Raymundos Food Group e altri in una gelida campagna di gennaio

Una famigerata gang ransomware prende di mira aziende americane in diversi settori, diffondendone i nomi in una nuova ondata di estorsione informatica.

Era un tranquillo lunedì di gennaio quando il famigerato gruppo ransomware Play ha fatto un annuncio agghiacciante: Raymundos Food Group, noto produttore alimentare, si era aggiunto alla crescente lista di vittime del gruppo. Ma Raymundos non era sola. Proprio lo stesso giorno, Play ha pubblicato rivendicazioni di attacchi contro Release Marine, Riverwood Golf Club ed Eastern Ice - settori diversi, stesse tattiche spietate. Il messaggio era chiaro: nel mondo del ransomware nessun settore è fuori portata.

Fatti rapidi

  • Il gruppo ransomware Play ha indicato Raymundos Food Group come nuova vittima il 20 gennaio 2026.
  • Altre vittime rese note lo stesso giorno includono Release Marine, Riverwood Golf Club ed Eastern Ice.
  • Non sono stati resi pubblici dettagli specifici sui dati sottratti o sulle richieste di riscatto.
  • Attacchi multipli evidenziano la campagna in corso di Play contro diverse aziende statunitensi.
  • Incidente individuato da ransomware.live, una piattaforma pubblica di monitoraggio delle minacce informatiche.

Play, un’operazione ransomware-as-a-service (RaaS) sempre più aggressiva, ha guadagnato notorietà per le sue tattiche di doppia estorsione: cifrare i file delle vittime e minacciare di divulgare dati sensibili a meno che non venga pagato un riscatto. L’ultima ondata del gruppo, rivelata tramite pubblicazioni sul loro sito di leak nel dark web e indicizzata da ransomware.live, suggerisce un cambio di rotta calcolato: dal colpire solo grandi корпораzioni all’includere organizzazioni più piccole e diversificate per settore. Le vittime annunciate - da un produttore alimentare a un golf club fino a un fornitore di ghiaccio - riflettono una strategia che sfrutta l’interruzione di attività essenziali ma spesso trascurate.

Ciò che rende questa campagna particolarmente preoccupante è la tempistica e il coordinamento. Tutte e quattro le vittime sono state pubblicate lo stesso giorno, il 20 gennaio 2026, lasciando intendere o violazioni simultanee o l’intento del gruppo di massimizzare la pressione psicologica e reputazionale. Sebbene Play non abbia pubblicato importi di riscatto o campioni di dati per questi attacchi specifici (almeno non ancora), la loro storia suggerisce che le trattative potrebbero già essere in corso dietro le quinte.

I dettagli tecnici restano scarsi, ma Play è noto per sfruttare vulnerabilità nei servizi esposti su Internet, spesso utilizzando email di phishing o credenziali compromesse del Remote Desktop Protocol (RDP) come vettori di accesso iniziale. Una volta dentro, il gruppo in genere si muove lateralmente per aumentare i privilegi, esfiltrare file sensibili e distribuire i propri payload ransomware personalizzati. La mancanza di comunicazioni pubbliche da parte delle vittime citate non è insolita; molte organizzazioni scelgono il silenzio, sperando di risolvere la crisi in modo discreto o di ridurre al minimo i danni reputazionali.

La comparsa di questi attacchi su ransomware.live sottolinea il ruolo crescente delle piattaforme pubbliche di monitoraggio nel tracciare l’attività dei criminali informatici. Pur non ospitando né distribuendo dati rubati, questi servizi forniscono una trasparenza cruciale, consentendo a ricercatori e pubblico di valutare la portata e il focus delle campagne ransomware in corso.

Mentre Play continua ad ampliare la propria rete, aziende di ogni dimensione e settore vengono ricordate che nessuno è immune dall’estorsione informatica. La domanda ora non è solo chi sarà la prossima vittima - ma se le organizzazioni sono pronte a difendersi quando i criminali bussano alla porta.

WIKICROOK

  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
  • Double: La doppia estorsione è un attacco informatico in cui i criminali sia cifrano sia rubano i dati, minacciando di divulgarli a meno che la vittima non paghi un riscatto.
  • Ransomware: Il ransomware è un software malevolo che cifra o blocca i dati, chiedendo un pagamento alle vittime per ripristinare l’accesso ai propri file o sistemi.
  • Remote Desktop Protocol (RDP): Il Remote Desktop Protocol (RDP) consente agli utenti di accedere e controllare un computer da remoto. Senza adeguate misure di sicurezza, può essere vulnerabile agli attacchi informatici.
  • Movimento laterale: Il movimento laterale avviene quando gli attaccanti, dopo aver violato una rete, si spostano “di lato” per accedere ad altri sistemi o a dati sensibili, ampliando controllo e portata.
Ransomware Cyber extortion Play group
SECPULSE SECPULSE
SOC Detection Lead
← Back to news