Ransomware 2026: Dagli EDR-killers alla crittografia post-quantum
Nel 2026 il ransomware si industrializza con EDR-killers BYOVD, crittografia post-quantum ML-KEM ed estorsione senza cifratura. Analisi dei nuovi trend.
Contenuto
Nel 2026, il panorama del ransomware ha completato una transizione fondamentale verso l'industrializzazione dei processi di attacco. La neutralizzazione delle difese non è più un'operazione accessoria, ma una componente standard e pianificata dei playbook criminali. Attraverso l'uso sistematico di tecniche BYOVD (Bring Your Own Vulnerable Driver), l'adozione dello standard crittografico post-quantum ML-KEM e lo spostamento verso l'estorsione senza cifratura, le minacce moderne hanno ridefinito i requisiti della protezione endpoint. Il settore manufacturing ha già subito l'impatto di questa evoluzione, con perdite stimate oltre i 18 miliardi di dollari nei primi tre trimestri dell'anno.
A febbraio 2026, la famiglia ransomware Reynolds ha esemplificato questo cambiamento, integrando la capacità di accecamento preventivo direttamente nel proprio binario. Non si tratta più di una tecnica di nicchia riservata ad attori statali o gruppi APT sofisticati, ma di un approccio metodico che colpisce trasversalmente ogni settore. I dati indicano che l'efficacia di questi attacchi poggia sulla capacità di operare a livello kernel, dove le protezioni tradizionali faticano a mantenere la visibilità e il controllo operativo, specialmente quando messe a confronto con l'automazione su larga scala.
- Standardizzazione BYOVD: La tecnica è diventata lo strumento ordinario per neutralizzare le difese endpoint nel 2026.
- Vulnerabilità Kernel: Il driver EnCase del 2006 permette ancora di terminare 59 prodotti di sicurezza su Windows moderno.
- Integrazione Malware: Il ransomware Reynolds fonde evasione e cifratura in un unico payload col driver NSecKrnl.
- Evoluzione Estorsiva: L'esfiltrazione dati senza cifratura ha interessato il 74% dei casi nel secondo trimestre 2025.
- Post-Quantum: Nuove varianti adottano lo standard ML-KEM per resistere alla decrittazione futura.
EnCase 2006: Il driver obsoleto che acceca le difese moderne
L'incidente documentato dai ricercatori Huntress a febbraio 2026 ha messo in luce una vulnerabilità strutturale nei meccanismi di verifica dei driver. L'attacco ha sfruttato il driver EnPortv.sys di EnCase, firmato originariamente il 15 dicembre 2006. Sebbene il certificato sia scaduto il 31 gennaio 2010 e successivamente revocato, Windows continua a caricarlo in kernel-mode. Questo accade a causa di un'eccezione di retrocompatibilità per i certificati emessi prima del 2015; il sistema valida il timestamp al momento della firma, ignorando lo stato di revoca corrente durante il boot.
Questa condizione permette agli attaccanti di utilizzare chiamate IOCTL per interagire direttamente con il kernel. Una volta caricato, il driver obsoleto viene istruito per terminare i processi degli agenti di sicurezza. Nell'incidente analizzato, il "kill loop" ha disattivato con successo 59 prodotti di sicurezza diversi, inclusi i principali antivirus ed EDR. Come sottolineato da ICT Security Magazine: "L’EDR non è stato aggirato; è stato spento", privando l'organizzazione di ogni sensore di rilevamento interno proprio nella fase critica dell'attacco.
L'analisi conferma che il passaggio del BYOVD a componente comune ha cambiato le regole dell'ingaggio. La tecnica non è più riservata ai gruppi APT più sofisticati, ma è diventata lo strumento standard con cui il ransomware acceca le difese. Questa democratizzazione del bypass kernel-mode è il tratto distintivo delle campagne rilevate nel 2026, dove l'attaccante prioritizza la neutralizzazione della telemetria rispetto alla rapidità di esecuzione della cifratura stessa.
Reynolds: L'integrazione nativa tra evasione e cifratura
La famiglia ransomware Reynolds rappresenta l'evoluzione successiva dell'integrazione dei tool di attacco. A differenza dei modelli precedenti che richiedevano script separati per preparare il terreno, Reynolds incorpora il driver vulnerabile NSecKrnl direttamente nel proprio payload. Questo unico binario gestisce l'intera catena: identifica il software di difesa, carica il driver per terminarlo e avvia immediatamente la cifratura aggiungendo l'estensione .locked ai file. L'uso di un unico artefatto semplifica le operazioni degli affiliati e complica drasticamente il lavoro dei Blue Team.
L'integrazione del driver NSecKrnl consente a Reynolds di ridurre i segnali di allarme (rumore) che solitamente precedono un attacco. Operando con i massimi privilegi di sistema, il malware garantisce che l'agente endpoint non possa inviare telemetria alla console di gestione prima di essere terminato. Questo approccio riflette la transizione verso la standardizzazione industriale: la fase di neutralizzazione preventiva non è più un modulo opzionale, ma è integrata nel codice sorgente per massimizzare l'efficacia della compromissione su larga scala.
La visibilità comportamentale viene meno nel momento esatto in cui il driver kernel-mode prende il controllo dei processi protetti. Questo modello "tutto in uno" suggerisce che nel 2026 la distinzione tra strumenti di disturbo e payload stia scomparendo in favore di suite offensive autonome. La capacità di fondere evasione e impatto finale in un unico processo riduce la finestra temporale utile per l'intervento dei Security Operation Center (SOC), rendendo obsolete molte strategie di rilevamento basate su soglie temporali.
La flessibilità degli affiliati e i 90 EDR-killers attivi
I dati di ESET Research confermano la vastità dell'arsenale criminale: sono stati censiti circa 90 EDR-killers attivi in circolazione, utilizzati principalmente in modelli Ransomware-as-a-Service (RaaS). In questa struttura, gli autori forniscono il core della minaccia, ma la scelta dei driver vulnerabili per disarmare la vittima spetta agli affiliati. Jakub Souček di ESET Research specifica che la scelta degli strumenti per aggirare i sistemi EDR è lasciata alla discrezione di chi esegue materialmente l'intrusione.
L'automazione gioca un ruolo cruciale; campioni analizzati dalla gang Warlock mostrano tracce di codice che suggeriscono un supporto della generazione assistita da AI. Questa tendenza è confermata dall'incremento del 30% degli eventi cyber censiti dall'ACN nel secondo semestre 2025, che ha totalizzato 1.253 eventi rilevanti. Il 2026 segna l'anno in cui il crimine informatico ha smesso di basarsi prevalentemente su servizi umani per diventare un sistema automatizzato capace di saturare le capacità di risposta difensiva.
Inoltre, le strategie di accesso iniziale si sono raffinate, preferendo l'utilizzo di RDWeb rispetto all'esposizione diretta di RDP. Questo permette di sfruttare interfacce web spesso meno monitorate e più vulnerabili a credenziali rubate. L'industrializzazione riguarda quindi l'intero ciclo di vita dell'attacco. Come evidenziato da Trend Micro, la scalabilità raggiunta dai gruppi criminali permette oggi di gestire centinaia di intrusioni simultanee con un intervento umano minimo, focalizzato solo sulle fasi finali della negoziazione.
"Se la tua sicurezza si basa sul rilevare un’intrusione, hai già perso – perché sono già loggati" — dr. Süleyman Özarslan, cofondatore Picus Labs
Crittografia post-quantum e il primato dell'esfiltrazione
Il ransomware del 2026 sta adottando protezioni crittografiche a prova di futuro tramite lo standard ML-KEM per la protezione delle chiavi AES-256. L'obiettivo è prevenire la decrittazione dei dati anche con l'eventuale disponibilità di computer quantistici. Questo "Livello di Sicurezza 5" serve a mantenere elevata la pressione sulle vittime, assicurando che i dati rimangano inaccessibili senza la chiave originale anche nel lungo periodo. Tuttavia, la vera rivoluzione riguarda il calo della cifratura come tecnica principale di estorsione.
Nel secondo trimestre del 2025, l'esfiltrazione di dati ha giocato un ruolo nel 74% dei casi analizzati, mentre la tecnica "Data Encrypted for Impact" ha registrato una flessione del 38% secondo Picus Labs. L'estorsione puramente basata sui dati rubati (encryptionless extortion) è diventata predominante perché permette agli attaccanti di operare in modo più silenzioso. Questa strategia trasforma il ransomware in un problema di riservatezza: gli aggressori non bloccano i server, ma minacciano la pubblicazione di segreti industriali protetti ora da cifratura post-quantum.
Cosa fare adesso
La difesa contro le minacce del 2026 richiede un superamento del modello basato sulla fiducia nell'agente endpoint locale. Poiché driver vulnerabili possono terminare 59 diversi prodotti di sicurezza, le organizzazioni devono implementare una strategia di visibilità fuori banda. È necessario spostare il monitoraggio a livello di rete e di hypervisor, dove l'attaccante non può intervenire tramite tecniche BYOVD eseguite all'interno del sistema operativo ospite, mantenendo così l'integrità dei log di sistema.
Un intervento prioritario consiste nel limitare i vettori di accesso applicando tempestivamente le patch per le vulnerabilità catalogate da CISA, con particolare attenzione a WebPros cPanel, ConnectWise ScreenConnect e SimpleHelp. La gestione degli accessi deve includere un monitoraggio rigoroso delle sessioni RDWeb, oggi punto d'ingresso preferenziale. Infine, dato che il 74% degli attacchi punta al furto di informazioni, l'adozione di sistemi DLP e una segmentazione della rete capillare sono indispensabili per prevenire i movimenti laterali.
L'evoluzione verso l'automazione e l'uso massivo di EDR-killers impone un cambio di paradigma radicale: la sicurezza deve essere architetturale e non più solo basata su software residenti. Se il driver kernel-mode ha il potere di spegnere la difesa, l'unica protezione efficace è quella che risiede al di fuori della sua portata. La sicurezza deve essere proattiva, basata su un’architettura Zero Trust che non si limita a proteggere l’endpoint, ma isola l’identità e i dati oltre il perimetro del kernel compromesso.
Domande frequenti
Cos'è la tecnica BYOVD e perché è pericolosa?
La tecnica BYOVD (Bring Your Own Vulnerable Driver) prevede l'installazione di un driver legittimo ma vulnerabile. Operando in modalità kernel, il driver può essere manipolato per terminare i processi di sicurezza (EDR/AV), rendendo l'attaccante invisibile al sistema operativo.
Cos'è lo standard ML-KEM nel ransomware?
ML-KEM è uno standard di crittografia post-quantum. I gruppi ransomware lo utilizzano per proteggere le chiavi di cifratura, garantendo che i dati non possano essere decifrati nemmeno da futuri computer quantistici, mantenendo intatto il potere di ricatto nel tempo.
Perché gli attacchi senza cifratura sono in aumento?
L'estorsione senza cifratura è meno rilevabile e più difficile da bloccare. Rubando i dati invece di bloccare i sistemi, i criminali mantengono l'accesso più a lungo e minacciano le aziende con sanzioni legali e danni reputazionali, evitando i tempi di risposta legati al ripristino dei backup.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://securelist.com/state-of-ransomware-in-2026/119761/
- https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- https://www.ictsecuritymagazine.com/cyber-crime/edr-killer-byovd-endpoint/
- https://www.datamanager.it/2026/03/analisi-approfondita-degli-edr-killers-pietra-miliare-delle-moderne-operazioni-di-ransomware/
- https://www.ictsecuritymagazine.com/notizie/cybercrime-2026-novita/