Ransomware 2026: cifrari post-quantistici, estorsione e EDR-killer

Ransomware 2026: cifrari post-quantistici, estorsione e EDR-killer

Il 12 maggio 2026 Kaspersky ha pubblicato il suo report annuale che ridefinisce il panorama del ransomware. Nonostante la quota di organizzazioni colpite sia diminuita nel 2025, l'impatto economico resta critico: il solo settore manifatturiero ha registrato oltre $18 miliardi di perdite nei primi tre trimestri del 2025. La congiunzione di cifrari post-quantistici, estorsione senza crittografia e l'industrializzazione dell'accesso iniziale rende obsoleto il paradigma difensivo tradizionale, nonostante nel 2025 la quota di riscatti pagati sia scesa al 28%.

Il cifrario che resiste anche al quantum computing

La novità tecnica più significativa del 2026 è l'adozione di algoritmi post-quantistici. La famiglia PE32 implementa lo standard ML-KEM con parametro Kyber1024, corrispondente al Level 5 di sicurezza del NIST. Questa scelta crittografica protegge le chiavi simmetriche AES che cifrano i file, rendendole resistenti sia agli attacchi classici sia a quelli quantistici futuri. La complessità computazionale richiesta per la decrittazione non autorizzata compie così un salto qualitativo senza precedenti.

Secondo il report: "The encryption techniques used by this quantum-proof ransomware could be used to resist decryption attempts from both classical and quantum computers, making it nearly impossible for victims to decrypt their data without having to pay a ransom." Questa evoluzione implica che le organizzazioni non possano più sperare in una decrittazione futura tramite l'evoluzione della potenza di calcolo. Se le chiavi vengono perse, i dati rimangono inaccessibili con una robustezza teorica superiore agli standard passati.

L'impiego di ML-KEM non è più un esperimento accademico ma una funzione operativa. Gli attaccanti blindano il proprio vantaggio competitivo contro le capacità di recupero delle forze dell'ordine e dei ricercatori. Il passaggio a questi standard crittografici costringe le aziende a una difesa proattiva, poiché la fase di post-compromissione offre margini di manovra quasi nulli per il recupero dei file cifrati senza la chiave originale.

L'estorsione che non cifra: l'obsolescenza dei backup

Parallelamente, il 2026 registra il consolidamento dell'estorsione senza crittografia (encryptionless extortion). Gruppi come ShinyHunters operano un modello dove, come indicato da Kaspersky, "attackers leave out the 'ware' in 'ransomware' and focus on extracting sensitive data and leveraging the threat of public disclosure as their primary means of extortion." L'obiettivo non è più bloccare i sistemi, ma sottrarre informazioni sensibili per monetizzarne la minaccia di pubblicazione.

Questo shift tattico neutralizza il valore protettivo dei backup. Se i dati non vengono cifrati ma esfiltrati, la disponibilità del sistema non è compromessa, ma lo è la sua confidenzialità. Il riscatto diventa un prezzo per evitare sanzioni regolatorie e danni reputazionali. Nel 2025, la quota di riscatti pagati è scesa al 28%, segno che la leva del blocco operativo sta perdendo efficacia rispetto al ricatto basato sui dati rubati.

La diminuzione dei pagamenti non indica una minaccia minore, ma una diversa negoziazione. Quando l'unica posta in gioco è la diffusione dei dati, il calcolo del pagamento dipende esclusivamente dalla sensibilità delle informazioni esfiltrate. Questo modello operativo riduce la complessità tecnica per l'attaccante, eliminando la necessità di routine di cifratura stabili che spesso vengono rilevate precocemente dai sistemi di monitoraggio della sicurezza.

I killer delle difese endpoint: BYOVD come standard

La neutralizzazione delle soluzioni di sicurezza è diventata una fase obbligatoria del playbook d'attacco. Gli operatori impiegano tool EDR-killer e la tecnica BYOVD (Bring Your Own Vulnerable Driver). Quest'ultima sfrutta driver legittimi ma vulnerabili per ottenere privilegi di sistema e disabilitare gli agent di protezione. Questa combinazione degrada drasticamente la visibilità difensiva proprio durante le fasi critiche che intercorrono tra l'accesso iniziale e l'esfiltrazione finale dei dati.

La conseguenza è un allungamento dei tempi di permanenza (dwell time) degli attaccanti nelle reti. Le difese endpoint, una volta considerate l'ultimo baluardo, vengono rese cieche prima della distribuzione del payload. Questo pattern è integrato nell'offerta dei broker di accesso iniziale (IAB), che spesso forniscono ai gruppi ransomware informazioni dettagliate sulla postura difensiva della vittima, permettendo di selezionare preventivamente il toolkit di evasione più efficace.

RDWeb e l'industrializzazione dell'accesso

I broker di accesso iniziale mantengono un ruolo centrale, con una preferenza per RDWeb (Remote Desktop Web Access). RDWeb permette l'accesso tramite browser usando credenziali legittime acquistate su Telegram o forum underground. L'uso di account validi riduce le anomalie rilevabili: l'attacco si maschera come traffico autorizzato, eliminando la necessità di exploit zero-day. Questo abbassa la barriera tecnica per gli affiliati, rendendo le intrusioni più frequenti e difficili da tracciare.

Nonostante la chiusura di piattaforme come RAMP (gennaio 2026) e LeakBase (marzo 2026), l'ecosistema si è frammentato verso canali privati. Nel 2025 erano già stati sequestrati Nulled, Cracked e XSS, oltre ai siti di BlackSuit e 8Base. Tuttavia, queste azioni delle forze dell'ordine non hanno arrestato il mercato degli accessi, ma hanno spinto gli attori verso infrastrutture più resilienti, rendendo l'attività dei broker più opaca e distribuita.

Cosa fare adesso

Per rispondere a queste minacce, le aziende devono aggiornare la propria strategia di resilienza seguendo quattro direttrici specifiche basate sulle evidenze del 2026.

Hardening dei driver e prevenzione BYOVD. Poiché la tecnica BYOVD è diventata uno standard, è necessario implementare politiche rigorose di controllo dei driver consentiti, bloccando il caricamento di versioni vulnerabili note utilizzate per disabilitare gli EDR. La protezione dell'integrità del kernel deve diventare una priorità assoluta per mantenere la visibilità difensiva.

MFA e rotazione credenziali per RDWeb. Data la centralità di RDWeb per i broker di accesso, ogni punto di ingresso remoto deve essere protetto da autenticazione a più fattori (MFA). È fondamentale implementare la rotazione proattiva delle credenziali amministrative e monitorare gli accessi provenienti da aree geografiche o orari non coerenti con l'attività aziendale standard.

Classificazione e protezione dei dati sensibili. Per contrastare l'estorsione senza cifratura, l'attenzione deve spostarsi dai backup alla protezione della confidenzialità. È necessario mappare e classificare i dati critici, limitandone l'accesso e monitorando volumi anomali di traffico in uscita che potrebbero indicare un tentativo di esfiltrazione in corso.

Piani di risposta per scenari di esfiltrazione pura. I piani di incident response devono essere aggiornati per gestire incidenti dove non c'è blocco dei sistemi ma furto di informazioni. Questo include la pre-identificazione dei consulenti legali e delle procedure di comunicazione per gestire la minaccia di pubblicazione dei dati e le relative implicazioni normative.

"In 2025, the share of ransoms paid dropped to 28%." — Kaspersky Securelist

Il paradosso del calo delle infezioni

I dati di Kaspersky Security Network mostrano una diminuzione della quota di organizzazioni colpite nel 2025 rispetto al 2024. Tuttavia, le perdite nel manifatturiero (oltre $18 miliardi in tre trimestri) dimostrano che meno attacchi non significano meno danni. La selezione delle vittime è diventata più chirurgica: gli attaccanti preferiscono meno operazioni ma su obiettivi ad alto valore, spesso sfruttando compromissioni della supply chain.

Qilin è emerso come il gruppo più attivo dal secondo trimestre 2025, seguito da Clop — specializzato in attacchi alle catene di approvvigionamento — e Akira. La razionalizzazione del mercato ha eliminato gli operatori meno sofisticati, concentrando il crimine informatico nelle mani di gruppi con risorse sufficienti per sviluppare tool personalizzati e acquisire accessi pre-compromessi. Il risultato è un'industria più efficiente, meno rumorosa e più letale dal punto di vista economico.

FAQ

Il quantum computing è già usato per decifrare i dati?

No. L'uso di cifrari post-quantistici come ML-KEM è una misura preventiva degli attaccanti per garantire che i dati rimangano indecifrabili anche in futuro. Non indica che la decrittazione quantistica sia attualmente operativa, ma blinda il riscatto contro evoluzioni tecnologiche a lungo termine.

Perché i gruppi preferiscono l'estorsione senza cifratura?

L'esfiltrazione pura è meno rilevabile dai sistemi di sicurezza, non richiede complessi processi di cifratura e permette di colpire organizzazioni che hanno backup efficienti. La leva si sposta dalla disponibilità dei sistemi alla minaccia di danni reputazionali e multe per violazione della privacy.

I sequestri dei forum underground hanno ridotto il rischio?

Le azioni legali contro RAMP e LeakBase nel 2026 hanno disturbato l'ecosistema, ma il mercato dei broker di accesso iniziale (IAB) si è semplicemente spostato su canali più riservati. La minaccia non è diminuita, è diventata più frammentata e difficile da monitorare globalmente.

Fonti

• https://securelist.com/state-of-ransomware-in-2026/119761/

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti

• https://securelist.com/state-of-ransomware-in-2026/119761/