Dentro il Bazaar del Ransomware: Come “Startorg” è diventato il motore dell’estorsione sul Dark Web

Tutto è iniziato con un sussurro nel dark web: un nuovo misterioso attore, “Startorg”, era emerso nel già affollato mondo dell’estorsione informatica. Nel giro di poche settimane, vittime di ransomware in tutto il mondo hanno iniziato a ricevere ultimatum agghiaccianti, con i loro file rubati esposti su un sito chiamato Ransomfeed. Ma chi - o cosa - è Startorg, e come è diventato il nuovo boss del sottobosco digitale?

L’Ascesa Spietata di Startorg

I gruppi ransomware non sono una novità, ma l’arrivo di Startorg ha scosso nuovamente l’ecosistema del cybercrimine. Gli esperti di sicurezza hanno notato per la prima volta le impronte digitali del gruppo su reti aziendali violate nel marzo 2024. A differenza di alcuni gruppi del passato che operavano nell’ombra, Startorg prospera grazie alla pubblicità, pubblicando nomi delle vittime e file di esempio su Ransomfeed - una piattaforma “name and shame” su Tor progettata per mettere pressione sui bersagli affinché paghino.

Il Manuale di Ransomfeed

Ransomfeed è molto più di un semplice blog. È un sito di leak elegante e automatizzato dove Startorg pubblica countdown, note di riscatto e campioni di dati per ogni vittima. L’interfaccia user-friendly del sito nasconde il caos che genera: una volta che un’azienda compare nel feed, i suoi file rubati sono a pochi clic dall’esposizione pubblica. Questa tattica massimizza la pressione psicologica, spesso costringendo le organizzazioni a negoziare o pagare riscatti per evitare ulteriori fughe di dati.

Tattiche Tecniche

Il malware di Startorg si distingue per automazione e velocità. Una volta all’interno di una rete bersaglio - spesso tramite email di phishing o vulnerabilità sfruttate - critta rapidamente i file e carica i dati sensibili su server remoti. Il codice del gruppo prende in prestito trucchi da predecessori famigerati come LockBit e Conti, ma gli analisti affermano che Startorg è ancora più agile nell’adattarsi alle nuove difese.

I ricercatori sospettano che Startorg operi come un cartello “Ransomware-as-a-Service”, reclutando affiliati per diffondere il malware in cambio di una percentuale dei profitti. Questo modello di business consente al sindacato di crescere rapidamente, colpendo decine di organizzazioni contemporaneamente.

Chi si nasconde dietro la maschera?

Nonostante mesi di indagini, la vera identità degli operatori di Startorg resta un mistero. Indizi nelle note di riscatto suggeriscono legami con ambienti cybercriminali di lingua russa, ma l’attribuzione è notoriamente difficile nel mondo del ransomware. Ciò che è certo è che la combinazione di spietata pubblicità e abilità tecnica di Startorg sta ridefinendo il panorama del ransomware.