Malware

Sicarii Ransomware: verità contro miti di una nuova RaaS tra ideologia e profitto

di Redazione
scritto da Redazione 0 commenti
sicarii ransomware

Sicarii Ransomware è emerso tra la fine del 2025 e l’inizio del 2026 come una presunta nuova operazione Ransomware-as-a-Service, accompagnata da una narrazione fortemente ideologica e identitaria. Il gruppo si presenta come israeliano ed ebraico, richiama simboli storici come i Sicarii dell’antichità e utilizza riferimenti visivi e linguistici riconducibili all’estremismo ebraico di destra. Tuttavia, l’analisi tecnica e comportamentale condotta da Check Point Research separa in modo netto ciò che è verificabile da ciò che appare come costruzione propagandistica, rivelando un’operazione ancora immatura, centralizzata e probabilmente costruita su una identità performativa.

La prima evidenza che indebolisce la narrazione ufficiale del gruppo è linguistica. Nonostante l’uso ostentato dell’ebraico nei comunicati pubblici e nel leak site, le interazioni underground avvengono prevalentemente in russo, con un inglese tecnico fluente e un ebraico costellato di errori tipici della traduzione automatica. Questo elemento, da solo, non consente un’attribuzione definitiva, ma mina la credibilità dell’auto-rappresentazione ideologica del gruppo.

Identità dichiarata e segnali performativi

Sicarii costruisce il proprio brand intorno a un immaginario storico-politico molto esplicito. L’uso di simboli come l’emblema Haganah, i richiami agli antichi assassini e una retorica che miscela nazionalismo religioso e profitto criminale rappresentano un’anomalia nel panorama ransomware. I grandi gruppi RaaS consolidati tendono infatti a ridurre al minimo i segnali ideologici, proprio per preservare la negabilità plausibile e limitare l’attenzione delle forze dell’ordine.

In questo senso, Sicarii si discosta nettamente da attori come LockBit, Qilin o Cl0p, che adottano regole implicite come l’evitare bersagli domestici senza mai renderlo esplicito. Sicarii, al contrario, dichiara apertamente incentivi per colpire Stati arabi o musulmani e implementa meccanismi di geo-fencing che bloccano l’esecuzione del malware su sistemi israeliani. Questo approccio, più che rafforzare la credibilità ideologica, indebolisce la postura operativa, esponendo il gruppo a un livello di scrutinio superiore.

Attività reale e incoerenze operative

Sul piano dei fatti verificabili, l’attività di Sicarii appare estremamente limitata. Il gruppo rivendica tra tre e sei vittime paganti, ma ha pubblicato un solo caso documentato, apparso il 5 gennaio 2026, relativo a un produttore con sede in Grecia. Poco dopo, gli stessi operatori hanno ridefinito l’incidente come un semplice “test”, un cambio di narrativa che segnala incertezza strategica.

Un ulteriore elemento anomalo è la tempistica del leak site, attivato circa un mese prima che venisse resa pubblica qualsiasi vittima. Nei modelli RaaS maturi, la pubblicazione dei leak segue un ritmo costante e funzionale alla pressione sulle vittime. In questo caso, la discrepanza suggerisce una fase di avvio ancora instabile, più orientata alla costruzione dell’immagine che a un flusso di estorsioni consolidato.

Check Point Research osserva inoltre come l’operazione appaia fortemente centralizzata, con pochi indicatori di un vero ecosistema di affiliati attivi. Questo è coerente con la presenza, su VirusTotal, di codice sorgente grezzo — incluso un file denominato ransomawre.cs caricato il 25 ottobre 2025 — e di materiali grafici ideologici caricati separatamente. Un comportamento insolito per un RaaS maturo, ma tipico di gruppi in fase sperimentale o di operazioni dimostrative.

Analisi tecnica del malware Sicarii

Dal punto di vista tecnico, Sicarii è tutt’altro che innocuo. Il malware integra una catena completa di attacco che combina ricognizione, esfiltrazione dati ed estorsione doppia. L’esecuzione inizia con controlli anti-VM, progettati per evitare ambienti di analisi, seguiti da una verifica aggressiva della connettività di rete. Il campione si copia nella directory temporanea con nomi che imitano processi di sistema e impone un mutex per prevenire esecuzioni multiple.

La fase di raccolta dati è ampia e mirata. Vengono scandite directory utente come Documents e Downloads e ricercate estensioni riconducibili a applicazioni di comunicazione e produttività, inclusi client di messaggistica, wallet crittografici e suite Office. La presenza di dump LSASS indica una volontà esplicita di compromettere credenziali, mentre l’esfiltrazione tramite servizi pubblici come file.io suggerisce una infrastruttura C2 ancora minimale.

La cifratura utilizza AES-GCM a 256 bit, con chiavi uniche per file e parametri offuscati tramite XOR, una scelta tecnicamente solida che rende il recupero dei dati impraticabile senza la chiave. L’estensione .sicarii viene apposta ai file cifrati, accompagnata da una nota di riscatto standard. In alcuni casi, il malware attiva una fase distruttiva aggiuntiva, con script che tentano di corrompere il bootloader e rendere il sistema inutilizzabile, aumentando la pressione sulla vittima.

Profili delle vittime e strategia di basso profilo

I dati disponibili indicano che Sicarii predilige piccole e medie imprese, evitando deliberatamente grandi enterprise e strutture governative. Questa scelta riduce l’attenzione mediatica e legale, coerentemente con una strategia di profilo basso. Il caso greco resta l’unico esempio pubblico, e anche in quel contesto i link ai dati esfiltrati sono rimasti attivi solo per brevi periodi.

Le richieste di riscatto osservate sono relativamente contenute. In un negoziato documentato, l’importo sarebbe sceso a circa 9.170 euro per cinque endpoint, una cifra compatibile con la capacità di pagamento di una PMI. Questa flessibilità rientra nelle dinamiche classiche dell’estorsione ransomware, ma contrasta con la retorica grandiosa del gruppo, rafforzando l’idea di una narrazione sproporzionata rispetto alla realtà operativa.

Attribuzione, false flag e precedenti

L’attribuzione resta deliberatamente aperta. Check Point Research sottolinea come l’uso di simboli e retorica ideologica possa rientrare in strategie di false-flag, simili a quelle osservate in operazioni precedenti come Moses Staff o Abraham’s Ax, dove l’identità dichiarata serviva più a influenzare la percezione che a descrivere l’origine reale degli operatori.

L’uso predominante del russo nei canali underground, combinato con lo sviluppo assistito da strumenti di intelligenza artificiale e con una struttura ancora acerba, suggerisce un gruppo che sperimenta modelli narrativi per distinguersi in un ecosistema ransomware saturo. In questo senso, Sicarii potrebbe rappresentare più un laboratorio di comunicazione e propaganda criminale che una minaccia strutturata paragonabile ai grandi cartelli RaaS.

Leggi Report tecnico CheckPoint

Sicarii Ransomware è funzionale dal punto di vista tecnico, ma profondamente incoerente sul piano strategico e identitario. Il branding israeliano-ebraico appare costruito, l’ideologia esplicita riduce la negabilità e le rivendicazioni non trovano riscontro nei fatti. Per i difensori, il caso è un promemoria importante: non sempre la narrazione di un gruppo criminale coincide con la sua reale pericolosità o origine.

Monitorare Sicarii resta necessario, soprattutto per le PMI, ma l’analisi di Check Point Research indica che, allo stato attuale, il mito supera la realtà. Comprendere questa distinzione è essenziale per allocare correttamente le risorse difensive e per evitare che la propaganda criminale amplifichi artificialmente la percezione della minaccia.

Domande frequenti su Sicarii Ransomware

Sicarii Ransomware è davvero un gruppo ideologico israeliano?

Non esistono prove conclusive. L’uso dell’ebraico e dei simboli storici è incoerente e presenta errori tipici di traduzioni automatiche, mentre le comunicazioni reali avvengono in russo e inglese.

Quante vittime reali ha colpito Sicarii?

È documentato pubblicamente un solo caso, apparso il 5 gennaio 2026. Le rivendicazioni di più pagamenti non sono verificabili.

Il malware Sicarii è tecnicamente pericoloso?

Sì. Utilizza cifratura AES-GCM robusta, esfiltrazione dati e meccanismi distruttivi opzionali. Il rischio per le PMI è concreto.

Perché si parla di possibile false-flag?

Perché l’identità dichiarata e la retorica ideologica non coincidono con gli indicatori tecnici e linguistici, suggerendo una costruzione narrativa intenzionale.

Qual è la lezione principale per i difensori?

Separare sempre branding e propaganda dai dati tecnici e operativi, evitando di sovrastimare o sottostimare una minaccia sulla base della sua auto-rappresentazione.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.