Tecnologia
video suggerito
video suggerito

La banda di hacker The Gentlemen sta usando l’IA per diventare ancora più pericolosa: l’analisi di CERT-AGID

Il gruppo di hacker russi “The Gentlemen” usa l’intelligenza artificiale per rendere i propri attacchi ransomware ancora più letali. A lanciare l’allarme è il CERT-AGID: i cyber-criminali sfruttano i nuovi modelli per bloccare i sistemi aziendali ed estorcere riscatti.Un cambio di paradigma che rende urgente l’adeguamento delle difese informatiche per eliminare ogni vulnerabilità.
Leggi tutte le notizie di Fanpage.it nel tuo feed Google.
Avatar autore
A cura di Niccolò De Rosa
Immagine

L'intelligenza artificiale non è più soltanto uno strumento al servizio di aziende e professionisti. Sempre più spesso viene sfruttata anche dalla criminalità informatica per rendere gli attacchi più rapidi, precisi ed efficaci. A lanciare l'allarme è CERT-AGID, la struttura dell'Agenzia per l'Italia Digitale dedicata alla sicurezza informatica, che in una recente analisi ha evidenziato come The Gentlemen, uno dei gruppi di cyber-criminali più attivi dell'ultimo anno – responsabile di quasi 500 attacchi rivendicati a livello globale – abbia ormai integrato i modelli linguistici di ultima generazione nelle proprie attività illegali.

L'agenzia italiana ha citato le evidenze raccolte da Catalyst, la piattaforma di Cyber Threat Intelligence gestita da PRODAFT, azienda europea specializzata nel monitoraggio delle minacce informatiche e nella prevenzione del cybercrime. Secondo gli esperti, l'adozione dell'IA rappresenta un vero cambio di paradigma. Non un semplice supporto tecnico, ma un "moltiplicatore di efficacia" capace di velocizzare tutte le principali fasi di un attacco ransomware.

Chi sono i "Gentlemen": la minaccia degli hacker russi

Per inquadrare bene il problema, è doverosa qualche spiegazione. The Gentlemen è una squadra di hacker russi specializzata negli attacchi ransomware, una delle minacce informatiche più diffuse e redditizie degli ultimi anni. Spiegato in parole semplici, questo tipo di attacco prevede l'infezione dei sistemi informatici con un malware capace di cifrare dati, file e persino interi sistemi, rendendoli inaccessibili ai legittimi proprietari. Un po' come entrare in casa di qualcuno e cambiare la serratura della porta. Una volta bloccato l'accesso alle informazioni, i criminali chiedono quindi alle vittime – soprattutto aziende manifatturiere, tecnologiche e organizzazioni sanitarie – il pagamento di un riscatto ("ransom" in inglese) in cambio della chiave necessaria per ripristinarle.

Leggi anche
Lo schermo del PC si blocca ma è una truffa per rubare dati: scoperto il malware CypherLoc

Le prime attività sono state scoperte nel marzo 2025, quando il gruppo portava il nome di "Phantom Mantis". Nel luglio dello stesso anno, il team di hacker ha compiuto un ulteriore salto, assumendo il beffardo nome "The Gentlemen" e trasformandosi in un programma indipendente da altri team di cyber-criminali.

Secondo i ricercatori di PRODAFT, il coordinatore delle attività criminose del gruppo sarebbe un utente russofono, identificato come LARVA-368, capace di dotare il gruppo di un vero e proprio modello di business che gli addetti ai lavori chiamano Ransomware-as-a-Service (RaaS). In pratica, gli sviluppatori coinvolti nel progetto creano il malware e fungono da "assistenza tecnica", mentre gli affiliati eseguono materialmente gli attacchi, spartendosi poi il bottino del ricatto. Stando a quanto raccontano gli analisti, la formula vincente di The Gentlemen è una commissione particolarmente vantaggiosa – il 90% del riscatto resta agli affiliati, contro l'80% generalmente riconosciuto da altre organizzazioni criminali – che ha attirato molti hacker esperti, contribuendo alla rapida crescita del gruppo.

L'IA come arma: l'allarme di CERT-AGID

Nell'approfondimento pubblicato questa mattina, CERT-AGID evidenzia come la minaccia rappresentata da The Gentlemen sia destinata a crescere ulteriormente grazie all'integrazione dell'intelligenza artificiale nelle attività del gruppo. Se infatti fino a poco tempo fa gli hacker dovevano analizzare manualmente le montagne di dati necessarie a sferrare il cyber-attacco, ora il gruppo sembra aver bypassato questa fase di preparazione ottimizzando modelli AI open-weight (di pubblico dominio) in grado di elaborare immensi dataset in pochi minuti. Secondo le ultime analisi, la stessa piattaforma di negoziazione utilizzata dal gruppo sarebbe stata realizzata in appena tre giorni con una semplice attività di vibe coding. In pratica, invece di dedicare settimane alla scrittura e al perfezionamento del codice, gli hacker si sarebbero limitati a descrivere all'intelligenza artificiale le funzionalità desiderate, lasciando che fosse il sistema a generare gran parte del software necessario.

Il contributo dell'IA non si limiterebbe però solo alla costruzione dell'infrastruttura per bucare le difese dei sistemi da trafugare. Anche le strategie di ingegneria sociale per elaborare le modalità dei ricatti vengono rese ancora più micidiali dal contributo dell'IA. Le informazioni raccolte vengono infatti elaborate dagli algoritmi per costruire i contenuti delle mail e delle chiamate telefoniche direttamente sui punti deboli delle vittime, aumentando le probabilità di successo dell'estorsione.

Un ulteriore elemento di innovazione riguarda l'apprendimento dalle informazioni trafugate ad altri gruppi criminali. I ricercatori hanno osservato come The Gentlemen abbia utilizzato documentazione interna e procedure operative sottratte ad altre organizzazioni ransomware per addestrare o alimentare i propri modelli linguistici, assimilando rapidamente tecniche di negoziazione e metodologie di attacco già sperimentate.

Come difendersi dagli attacchi ransonware

Per contrastare questa minaccia, CERT-AGID raccomanda tre misure prioritarie. La prima è mantenere costantemente aggiornati sistemi e dispositivi, riducendo le opportunità di sfruttamento delle vulnerabilità. Una golden rule che vale tanto per le aziende multinazionali quanto per il privato cittadino. Le altre due sono invece più tecniche e riguardano le compagnie dotate di sistemi interni e grandi banche dati che potrebbero fare gola ai cyber-criminali.

A loro CERT-AGID ricorda l'importanza di monitorare sempre gli Indicatori di Compromissione (IoC) – ossia tutti quegli indizi che possono tradire la presenza di un malware – in modo da bloccarli prima che facciano danni e agire tempestivamente quando si teme un'avvenuta infezione: in questi casi, affermano gli esperti, "è necessario invalidare immediatamente tutte le sessioni web attive, revocare i token di autenticazione e forzare il reset di tutte le credenziali memorizzate sul sistema compromesso, implementando l'autenticazione a più fattori".

Immagine
Senza
consenso
La fine di Cfake, il forum che pubblicava fotomontaggi: vittime anche donne italiane
Il caso Phica non è finito: nelle stanze di Slut Room
"Le altre pagano, tu mandami foto intime": così Boss Miao rimuoveva i contenuti da Phica
autopromo immagine
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni
Notifiche
Effettua il Login
Tecnologia
api url views