EDR killer BYOVD non è un concetto nuovo. Ma nel febbraio 2026 è diventato qualcosa di diverso: non più una tecnica di nicchia riservata ai gruppi APT più sofisticati, bensì lo strumento standard – quasi banale – con cui il ransomware acceca le difese endpoint prima ancora di cifrare il primo file.

Nelle prime due settimane di febbraio 2026 sono accaduti due eventi che, presi insieme, segnano un punto di non ritorno. Il primo: Huntress ha documentato un’intrusione in cui gli attaccanti hanno utilizzato un driver del tool forense EnCase – con certificato scaduto nel 2010 e successivamente revocato – per terminare 59 prodotti di sicurezza endpoint dalla modalità kernel. Il secondo: il Symantec and Carbon Black Threat Hunter Team ha rivelato che un ransomware emergente battezzato Reynolds ha integrato un driver vulnerabile direttamente nel proprio payload, fondendo evasione difensiva e cifratura in un unico binario.

La convergenza di questi due episodi racconta una storia che va ben oltre il singolo incidente. Racconta il fallimento strutturale di un modello di sicurezza endpoint su cui le organizzazioni hanno investito miliardi, e che gli attaccanti stanno imparando a spegnere con un driver firmato di vent’anni fa.

Che cos’è il BYOVD e perché funziona ancora nel 2026

La tecnica Bring Your Own Vulnerable Driver – BYOVD – è concettualmente disarmante nella sua semplicità. L’attaccante non scrive un driver malevolo, non cerca di aggirare la firma digitale, non sfrutta uno zero-day nel kernel. Porta con sé un driver perfettamente legittimo, firmato da un vendor riconosciuto, che contiene una vulnerabilità nota. Poiché il driver è firmato, Windows lo carica senza protestare. Una volta in esecuzione nello spazio kernel, l’attaccante sfrutta la falla del driver per terminare i processi di sicurezza con privilegi di sistema.

Il meccanismo tecnico si articola in passaggi precisi. Il malware deposita il driver vulnerabile su disco, tipicamente mascherandolo come componente OEM legittimo. Registra il driver come servizio kernel di Windows, garantendosi persistenza al riavvio. Una volta caricato, il driver espone un’interfaccia IOCTL (Input/Output Control) che consente ai processi in user-mode di inviare comandi con privilegi kernel. A quel punto, il malware compila un elenco dei processi di sicurezza da terminare – nell’incidente documentato da Huntress, l’elenco comprendeva 59 prodotti tra EDR e antivirus – e li uccide uno per uno, in un ciclo continuo con intervallo di un secondo che impedisce qualsiasi riavvio automatico del processo protettivo.

Il risultato è che l’attaccante opera “al buio”: nessun alert, nessuna telemetria, nessun rilevamento comportamentale. L’EDR non è stato aggirato; è stato spento.

Ciò che rende questa tecnica devastante nel 2026 non è la sua novità – il BYOVD è documentato da anni nel framework MITRE ATT&CK sotto T1068 e T1562.001 – ma la sua industrializzazione. Come ha osservato Broadcom/Symantec nel report sul ransomware Reynolds, il BYOVD è oggi di gran lunga la tecnica di evasione difensiva più utilizzata dagli operatori ransomware.

Il caso Huntress: un driver forense del 2006 che spegne 59 EDR nel 2026

All’inizio di febbraio 2026, i ricercatori di Huntress hanno risposto a un incidente che illustra perfettamente il paradosso del BYOVD. Gli attaccanti hanno ottenuto l’accesso iniziale tramite credenziali compromesse di una VPN SonicWall SSL priva di autenticazione multifattore. Fin qui, nulla di sorprendente: credenziali rubate e assenza di MFA sono il biglietto d’ingresso standard per il ransomware nel 2026.

La fase successiva è quella che merita attenzione. Gli attaccanti hanno distribuito un EDR killer personalizzato che conteneva, codificato al suo interno, il driver kernel EnPortv.sys – un componente dell’EnCase forensic suite sviluppato da Guidance Software. Questo driver era stato firmato con un certificato emesso il 15 dicembre 2006, scaduto il 31 gennaio 2010 e successivamente revocato.

Eppure Windows lo ha caricato. Come è possibile?

La risposta sta in una scelta architetturale che Microsoft ha fatto nel 2015 per garantire la retrocompatibilità. A partire da Windows 10 versione 1607, tutti i nuovi driver kernel devono essere firmati tramite il Hardware Dev Center di Microsoft. Tuttavia, per non rompere il software legacy, è stata introdotta un’eccezione: i driver firmati con certificati emessi prima del 29 luglio 2015, che si concatenano a un’autorità di certificazione cross-signed supportata, possono ancora essere caricati. Il driver EnCase rientra pienamente in questa eccezione.

C’è un secondo meccanismo che sigilla il problema. Come hanno spiegato i ricercatori di Huntress: quando il codice è firmato con un timestamp, Windows valida la firma rispetto al momento in cui è stata creata, non rispetto alla data corrente. Poiché il driver è stato timestampato quando il certificato era ancora valido, la firma rimane valida a tempo indeterminato. Il kernel, inoltre, non verifica le Certificate Revocation List al boot, per ragioni di performance.

Il risultato netto è che un driver con certificato scaduto da 16 anni e revocato continua a caricarsi ed eseguirsi nello spazio kernel di qualsiasi sistema Windows moderno.

Una volta caricato, il driver esponeva l’interfaccia IOCTL 0x223078 (KillProc). Il componente in user-mode apriva un handle verso il dispositivo del driver (\.\OemHwUpd) e inviava i PID dei processi target tramite DeviceIoControl. Il driver, operando in kernel-mode, invocava ZwOpenProcess con accesso PROCESS_TERMINATE seguito da ZwTerminateProcess. Quando il codice kernel-mode chiama le funzioni Zw*, il wrapper imposta PreviousMode a KernelMode, segnalando che i parametri provengono da una sorgente fidata: Windows salta interamente la validazione di sicurezza che applicherebbe ai chiamanti in user-mode.

L’EDR killer compilava un elenco interno di 59 processi di sicurezza associati ai principali vendor – tra cui Avast, CrowdStrike Falcon, Cortex XDR, Sophos, HitmanPro.Alert e Symantec – utilizzando hash dei nomi dei processi per l’identificazione. Il kill loop, eseguito con un intervallo di un secondo, terminava immediatamente qualsiasi processo di sicurezza che tentasse di riavviarsi.

Un dettaglio tecnico particolarmente ingegnoso: l’EDR killer non conservava il driver come byte grezzi. Utilizzava uno schema di codifica basato su un dizionario di 256 parole inglesi incorporate nel binario, dove ogni parola corrispondeva a un valore di byte specifico. Il payload codificato appariva come testo inglese innocuo, eludendo efficacemente gli strumenti di analisi statica. Una volta decodificato, il malware scriveva il driver su disco sotto un percorso che imitava un componente OEM legittimo, nascondeva il file e copiava i timestamp da un file di sistema reale per integrarsi con l’ambiente.

L’attacco è stato interrotto prima del deployment del ransomware, ma il messaggio è inequivocabile: con un driver di vent’anni fa, un attaccante può accecare l’intero stack di sicurezza endpoint.

Reynolds: quando il ransomware porta l’EDR killer nel proprio DNA

Se l’incidente documentato da Huntress rappresenta il modello classico – EDR killer come tool separato, dispiegato prima del ransomware – il caso Reynolds, analizzato dal Symantec and Carbon Black Threat Hunter Team e reso pubblico il 10 febbraio 2026, segna un’evoluzione tattica significativa.

Reynolds è una famiglia ransomware emergente che ha integrato il componente BYOVD direttamente all’interno del payload di cifratura. Il driver vulnerabile utilizzato è NSecKrnl di NsecSoft, affetto dalla vulnerabilità CVE-2025-68947, che consente la terminazione arbitraria dei processi senza verifica dei permessi adeguati. Lo stesso driver era stato precedentemente usato dal gruppo Silver Fox per distribuire il RAT ValleyRAT.

Al momento dell’esecuzione, Reynolds deposita il driver NSecKrnl.sys in una directory di sistema, lo carica nello spazio kernel e lo utilizza per terminare i processi di sicurezza di Avast, CrowdStrike Falcon, Palo Alto Networks Cortex XDR, Sophos e Symantec Endpoint Protection. Solo dopo aver reso cieche le difese, il ransomware avvia la routine di cifratura, aggiungendo l’estensione “.locked” ai file compromessi.

L’integrazione presenta vantaggi tattici evidenti. Come ha osservato Dick O’Brien, principal intelligence analyst di Symantec, rilasciare un unico file anziché due è più silenzioso e riduce le probabilità di rilevamento. Inoltre, eliminando l’intervallo temporale tra il dispiegamento dell’EDR killer e l’esecuzione del ransomware, si chiude la finestra in cui i difensori potrebbero intervenire.

Tuttavia, questa integrazione comporta anche un rischio per l’attaccante: consolidare evasione difensiva e cifratura in un’unica catena di esecuzione aumenta la densità comportamentale del binario, incrementando la probabilità di rilevamento da parte di soluzioni con monitoraggio comportamentale avanzato. Non a caso, nell’incidente analizzato da Symantec, il prodotto endpoint dell’azienda ha continuato a funzionare nonostante il tentativo di terminazione. Sophos, da parte sua, ha dichiarato a The Hacker News di disporre di protezioni di blocco contro questo specifico driver dal novembre 2025 e di safeguard proattivi contro il payload da diversi anni – un’indicazione che i vendor più maturi stanno evolvendo le difese, ma anche che la corsa tra attaccanti e difensori è continua.

Dopo l’iniziale attribuzione a Black Basta – basata sulla somiglianza delle TTP – un’analisi più approfondita ha portato Symantec a classificare Reynolds come famiglia ransomware distinta. Non è chiaro se rappresenti un rebrand o uno spin-off di Black Basta, ma l’evoluzione tattica che porta con sé è indipendente dall’attribuzione: il BYOVD integrato nel payload è una tendenza, non un caso isolato.

Lo stesso report di Broadcom ha osservato che la pratica di incorporare la componente di evasione difensiva direttamente nel payload ransomware non è del tutto inedita: era stata documentata in un attacco Ryuk nel 2020 e in un incidente legato a un ransomware meno noto chiamato Obscura alla fine di agosto 2025. Tuttavia, ciò che distingue Reynolds è la maturità dell’integrazione e il suo posizionamento in un ecosistema dove il BYOVD embedded potrebbe diventare requisito standard per attrarre affiliati nei programmi RaaS.

EDRKillShifter e la collaborazione cross-gang: il BYOVD come lingua franca del ransomware

Il fenomeno dell’EDR killer BYOVD non si esaurisce nei due episodi di febbraio 2026. Per comprenderne la portata sistemica, è necessario guardare a ciò che ESET ha documentato nel marzo 2025: la scoperta di EDRKillShifter, un tool EDR killer sviluppato e mantenuto da RansomHub come parte integrante del proprio programma Ransomware-as-a-Service.

EDRKillShifter è un software specializzato che utilizza la tecnica BYOVD per disabilitare i prodotti EDR sugli endpoint compromessi. Ciò che lo rende particolarmente significativo è la decisione di RansomHub di offrirlo direttamente ai propri affiliati – una scelta rara nel panorama RaaS, dove tipicamente gli affiliati devono procurarsi autonomamente gli strumenti per l’evasione difensiva.

La scoperta più rilevante di ESET, tuttavia, riguarda la diffusione cross-gang dello strumento. Tracciando l’uso di specifici campioni di EDRKillShifter, i ricercatori hanno identificato un singolo threat actor – denominato QuadSwitcher – che ha condotto attacchi per conto di quattro diverse operazioni ransomware: RansomHub, Play, Medusa e BianLian. Tutti gli attacchi coinvolgevano gli stessi campioni di EDRKillShifter e gli stessi server C2.

Il fatto che Play e BianLian – gang che operano tradizionalmente sotto modelli RaaS chiusi, basati sulla fiducia a lungo termine – utilizzino strumenti di un rivale come RansomHub suggerisce un livello di collaborazione senza precedenti nell’ecosistema ransomware. Come hanno teorizzato i ricercatori ESET, membri fidati di Play e BianLian stanno collaborando con rivali e riutilizzando gli strumenti ricevuti nelle proprie operazioni.

Questa dinamica trasforma l’EDR killer BYOVD da strumento tattico a infrastruttura condivisa dell’ecosistema ransomware. Non è più una capacità proprietaria di un singolo gruppo: è una commodity, un servizio, una lingua franca del cybercrime organizzato.

Perché Windows non può semplicemente “risolvere” il problema

Qualsiasi professionista della sicurezza, a questo punto, si pone la domanda ovvia: perché Microsoft non blocca semplicemente i driver con certificati scaduti o revocati?

La risposta è più complessa di quanto sembri e tocca uno dei trade-off più delicati dell’architettura Windows: la retrocompatibilità.

L’eccezione per i driver firmati prima del 29 luglio 2015 non è un bug – è una policy deliberata. Milioni di dispositivi hardware in produzione dipendono da driver legacy firmati con certificati di quel periodo. Revocare unilateralmente l’eccezione significherebbe potenzialmente causare crash di sistema, schermate blu e malfunzionamenti hardware su una scala difficile da quantificare.

Microsoft ha scelto un approccio alternativo: la Vulnerable Driver Blocklist, una lista di driver noti come vulnerabili o malevoli, implementata come policy Windows Defender Application Control (WDAC). A partire da Windows 11 versione 22H2, questa blocklist è abilitata di default su tutti i dispositivi. Viene aggiornata con ogni release principale di Windows, tipicamente una o due volte l’anno.

Il problema evidente di questo approccio è che è intrinsecamente reattivo: solo i driver già noti come weaponizzati finiscono nella lista. Ogni nuovo driver vulnerabile scoperto dagli attaccanti ha una finestra di esposizione fino al prossimo aggiornamento. In un ecosistema dove esistono centinaia di migliaia di driver firmati accumulati in decenni di sviluppo hardware, la superficie di attacco potenziale è virtualmente illimitata.

C’è poi un secondo problema, documentato nel CVE-2025-59033: la blocklist, implementata come policy WDAC, presenta un comportamento diverso a seconda che HVCI sia attivo o meno. Sui sistemi senza HVCI, alcune voci della blocklist che specificano il TBS hash del certificato insieme a qualificatori FileAttribRef (come nome del file o versione) possono non essere bloccate correttamente. Microsoft ha contestato l’assegnazione del CVE, affermando che la blocklist è progettata per funzionare con HVCI attivo e che i sistemi senza HVCI dovrebbero utilizzare App Control con policy personalizzate.

Ma questo sposta il problema anziché risolverlo: nella realtà operativa, HVCI non è attivo sulla maggioranza degli endpoint enterprise. Molte organizzazioni lo disabilitano per ragioni di compatibilità con driver legacy, impatto sulle performance o, più semplicemente, perché non ne conoscono l’esistenza o la funzione. Il risultato è una protezione che esiste sulla carta ma non nel data center.

L’inventario degli strumenti: gli EDR killer che stanno ridefinendo il playbook ransomware

Il panorama degli EDR killer BYOVD nel 2026 è variegato e in rapida espansione. Comprenderne la tassonomia è essenziale per chi deve costruire strategie difensive.

TrueSightKiller sfrutta il driver truesight.sys ed è uno degli strumenti pubblicamente disponibili più utilizzati nelle intrusioni ransomware recenti.

AuKill, documentato da Sophos, utilizza una versione obsoleta del driver impiegato dall’utility Microsoft Process Explorer per disabilitare i processi EDR prima del deployment del ransomware.

Poortry (noto anche come BurntCigar) è un driver malevolo frequentemente impiegato insieme al loader Stonestop. A differenza dei tool precedenti, Poortry è stato firmato con certificati rubati o ottenuti fraudolentemente, aggiungendo un ulteriore livello di sofisticazione.

GhostDriver e Warp AVKiller completano l’arsenale più frequentemente osservato, con quest’ultimo che sfrutta un driver anti-rootkit di Avira per disabilitare i prodotti di sicurezza.

Un caso particolarmente emblematico della diversificazione in atto riguarda il gruppo Interlock, che ha sviluppato un tool denominato “Hotta Killer” per sfruttare un zero-day in un driver anti-cheat gaming – GameDriverx64.sys, tracciato come CVE-2025-61155 – in attacchi BYOVD contro organizzazioni del settore educativo in UK e USA. L’intrusione, analizzata da FortiGuard, è particolarmente istruttiva perché illustra la convergenza di più tecniche offensive in un’unica campagna: l’accesso iniziale è avvenuto tramite tattiche di social engineering ClickFix per distribuire il payload MintLoader, seguito dal deployment del RAT NodeSnake per il movimento laterale, e infine dall’uso di Hotta Killer per disabilitare le difese prima della cifratura.

Il driver, rinominato UpdateCheckerX64.sys, veniva caricato come servizio kernel e comunicava tramite un link simbolico, esponendo un IOCTL (0x222040) con un magic flag (0xFA123456) per terminare i processi di sicurezza. Il caso Interlock è significativo perché dimostra che gli attaccanti non si limitano più ai driver di sicurezza o forensics: qualsiasi driver firmato con accesso kernel – inclusi quelli dei videogiochi – è un potenziale vettore BYOVD.

La portata del fenomeno ha spinto la Cyber Security Agency di Singapore (CSA) a pubblicare un advisory dedicato agli EDR killer, segnalando che almeno otto gruppi ransomware utilizzano attivamente strumenti di questo tipo. L’advisory ha evidenziato caratteristiche chiave condivise tra i tool: framework collaborativo tra gang, randomizzazione dei nomi dei driver, capacità di auto-scompattamento in memoria e uso di certificati rubati o scaduti.

La lista non è statica. Come ha evidenziato la ricerca di ESET su RansomHub, i ricercatori hanno osservato un aumento marcato nell’uso di EDR killer derivati da proof-of-concept pubblici, mentre il set di driver abusati rimane relativamente fisso. Cisco Talos ha analizzato sistematicamente le classi di vulnerabilità tipicamente sfruttate nei driver Windows, confermando che lo sfruttamento è migrato dal dominio degli attori avanzati a quello delle minacce commodity, in primis il ransomware. Questo significa che la barriera d’ingresso per sviluppare un EDR killer personalizzato è in caduta libera: chiunque abbia competenze di sviluppo Windows di livello intermedio può assemblarne uno partendo da codice disponibile su repository pubblici e proof-of-concept documentati.

Il paradosso dell’EDR e il debito del driver legacy

C’è un’ironia crudele nella situazione attuale. L’Endpoint Detection and Response è il prodotto di sicurezza su cui le organizzazioni investono di più, il pilastro su cui costruiscono la propria postura difensiva. I vendor EDR hanno sviluppato capacità sempre più sofisticate: rilevamento comportamentale, machine learning, analisi della memoria, threat hunting automatizzato.

Ma tutto questo sofisticato apparato tecnologico opera in user-mode. E un singolo driver vulnerabile caricato in kernel-mode ha il potere di spegnerlo completamente, bypassando ogni protezione, incluso Protected Process Light (PPL), il meccanismo che dovrebbe impedire la terminazione dei processi di sicurezza critici.

Il BYOVD come tecnica EDR killer sfrutta un debito architetturale che si è accumulato in decenni di sviluppo dell’ecosistema Windows. Ogni driver firmato legittimamente in vent’anni di storia informatica è un potenziale strumento nelle mani di un attaccante. E poiché questi driver erano progettati per scopi legittimi – forensics, gestione hardware, anti-rootkit, anti-cheat gaming – nessuno ha mai pensato di limitare le loro capacità kernel-mode in modo granulare.

Questo debito del driver legacy è strutturalmente analogo al debito tecnico nel software: una scelta ragionevole al momento della progettazione che diventa un rischio crescente con il passare del tempo. La differenza è che il debito tecnico nel software si paga con costi di manutenzione; il debito del driver legacy si paga con intrusioni ransomware riuscite.

Contromisure operative: cosa funziona davvero e cosa è un’illusione

Definito il problema nella sua dimensione reale, è necessario analizzare le contromisure con lo stesso rigore critico. Non tutte le difese proposte sono ugualmente efficaci, e alcune creano un falso senso di sicurezza.

HVCI (Hypervisor-Protected Code Integrity)

È la difesa più robusta attualmente disponibile. HVCI utilizza la virtualizzazione hardware per proteggere la memoria kernel, impedendo l’esecuzione di codice non firmato o non conforme alle policy. Quando HVCI è attivo, la Vulnerable Driver Blocklist di Microsoft viene effettivamente applicata. Huntress lo raccomanda esplicitamente come prima contromisura: abilitare HVCI / Memory Integrity garantisce che la blocklist dei driver vulnerabili sia effettivamente enforced.

Il problema: HVCI può causare incompatibilità con driver legacy e applicazioni che richiedono accesso diretto al kernel. Alcune organizzazioni lo disabilitano per ragioni operative, esponendosi esattamente all’attacco che dovrebbe prevenire.

WDAC (Windows Defender Application Control)

WDAC consente di definire policy granulari su quali driver e applicazioni possono essere eseguiti. Configurato correttamente in modalità allowlist, WDAC può bloccare proattivamente il caricamento di qualsiasi driver non esplicitamente autorizzato, inclusi quelli non ancora presenti nella blocklist di Microsoft.

È la contromisura più efficace in termini di copertura, ma anche la più complessa da implementare. Richiede un inventario accurato di tutti i driver legittimi necessari nell’ambiente, un processo di test rigoroso e una gestione continua delle eccezioni. In ambienti enterprise complessi, il deployment di WDAC in modalità enforced può richiedere mesi.

ASR Rules (Attack Surface Reduction)

La regola ASR “Block abuse of exploited vulnerable signed drivers” impedisce a un’applicazione di scrivere su disco un driver vulnerabile firmato. Tuttavia, come documentato da Microsoft, questa regola non blocca un driver già presente nel sistema – agisce solo sulla fase di installazione. Inoltre, le ASR rules dipendono da Microsoft Defender e possono essere disattivate da processi in user-mode, il che ne limita l’efficacia contro attaccanti che hanno già ottenuto privilegi elevati.

Monitoraggio comportamentale e telemetria

Se le difese preventive falliscono – e come abbiamo visto, in molti ambienti mancano i prerequisiti per attivarle – il rilevamento diventa l’ultima linea di difesa. I SOC dovrebbero monitorare attivamente: la creazione di servizi kernel con nomi che mimano componenti OEM o hardware; il caricamento di driver non standard, specialmente se firmati con certificati obsoleti; la terminazione anomala dei processi EDR; l’uso di sc.exe per la creazione di nuovi servizi kernel; l’attività IOCTL sospetta verso driver appena caricati.

Huntress ha evidenziato come la telemetria SIEM proveniente dal SonicWall sia stata determinante per ricostruire la timeline dell’intrusione. La lezione operativa è chiara: la visibilità a livello di rete e di autenticazione deve complementare, non sostituire, la protezione endpoint.

Il quadro strategico: dalla rincorsa delle blocklist alla riduzione strutturale del rischio

Il BYOVD come vettore EDR killer mette in discussione un assunto implicito della sicurezza endpoint degli ultimi dieci anni: che l’EDR sia sufficiente come difesa primaria.

Non lo è. Non perché l’EDR non funzioni – funziona eccellentemente nel proprio dominio. Ma perché opera a un livello di privilegio inferiore rispetto allo spazio in cui gli attaccanti possono agire quando sfruttano un driver kernel vulnerabile. È come avere una guardia armata all’ingresso che un intruso può addormentare prima di entrare.

La risposta strategica non è abbandonare l’EDR, ma costruire architetture dove la compromissione dell’EDR non equivalga alla compromissione dell’intero ambiente. Questo significa defense in depth reale, non come slogan ma come architettura: segmentazione di rete che limita il lateral movement indipendentemente dallo stato dell’endpoint; monitoraggio a livello di rete e di identità che non dipende dall’agente endpoint; policy di allowlisting dei driver che prevengono il caricamento di codice non autorizzato a livello kernel; autenticazione multifattore robusta su ogni punto di accesso remoto (l’incidente Huntress è iniziato con credenziali VPN senza MFA).

Il modello mentale deve evolvere dalla domanda “il nostro EDR rileverà l’attacco?” alla domanda “cosa succede se l’attaccante spegne il nostro EDR?”. Se la risposta alla seconda domanda è “non abbiamo visibilità e non possiamo contenere l’intrusione”, l’architettura difensiva ha un problema strutturale che nessun upgrade dell’EDR potrà risolvere.

Implicazioni per NIS2, DORA e la compliance

Il fenomeno EDR killer BYOVD ha implicazioni dirette per i framework normativi europei in fase di implementazione. NIS2 richiede alle organizzazioni essenziali e importanti di adottare misure di gestione del rischio proporzionate, inclusa la sicurezza della supply chain e la gestione delle vulnerabilità. Un ambiente in cui driver legacy vulnerabili possono essere sfruttati per disabilitare le difese endpoint rappresenta un rischio di supply chain tecnologica che deve essere esplicitamente indirizzato nel risk assessment.

Non si tratta di un rischio teorico: CISA ha aggiornato l’advisory congiunto su Akira nel novembre 2025 documentando specificamente l’uso di malware POORTRY per modificare configurazioni BYOVD su driver vulnerabili e disabilitare le protezioni endpoint, confermando che il fenomeno è monitorato dalle autorità di sicurezza a livello internazionale.

DORA, per le entità finanziarie, richiede test di resilienza operativa digitale che includano scenari di threat-led penetration testing. I TLPT dovrebbero necessariamente includere scenari BYOVD per validare la capacità dell’organizzazione di rilevare e contenere un’intrusione in cui l’EDR è stato neutralizzato.

La responsabilità ricade sull’organizzazione, non sul vendor EDR. Se un ransomware riesce a cifrare l’ambiente perché l’EDR è stato spento con un driver vulnerabile che avrebbe potuto essere bloccato da HVCI o WDAC, la domanda delle autorità di supervisione sarà: perché queste contromisure non erano abilitate?

Cosa aspettarsi: il BYOVD embedded come nuovo standard

Il caso Reynolds non è un’anomalia. È un segnale direzionale.

Come ha osservato il Symantec and Carbon Black Threat Hunter Team, l’integrazione di capacità aggiuntive direttamente nel payload ransomware potrebbe funzionare come unique selling point per gli sviluppatori che cercano di attrarre affiliati. In un mercato RaaS competitivo, offrire un payload che gestisce autonomamente l’evasione difensiva riduce la complessità per l’affiliato e rende gli attacchi più facili da eseguire.

È ragionevole prevedere che nel corso del 2026 vedremo altri gruppi ransomware adottare il modello del BYOVD embedded, e che la ricerca di driver vulnerabili ancora non presenti nella blocklist di Microsoft diventerà un’attività sistematica da parte dei threat actor. I numeri supportano questa proiezione: secondo i dati aggregati da Cyble e ReliaQuest, gli attacchi ransomware nel 2025 hanno raggiunto quota 4.737, in aumento rispetto ai 4.701 del 2024, con il riscatto medio balzato a 591.988 dollari nel Q4 2025 (+57% sul trimestre precedente, secondo Coveware).

In un ecosistema dove la competizione tra gang è feroce e le barriere d’ingresso continuano a scendere, offrire un payload con EDR killer BYOVD integrato diventa un vantaggio competitivo concreto nel reclutamento di affiliati. La corsa è già in atto: ogni driver firmato legittimamente in due decenni di storia Windows è un potenziale candidato.

Per i difensori, questo significa che la finestra per implementare contromisure strutturali – HVCI, WDAC, segmentazione, monitoraggio indipendente dall’endpoint – si sta chiudendo. Il BYOVD non è una minaccia futura: è il presente del ransomware. E il costo dell’inazione non è più un rischio teorico da inserire nel risk register. È un incidente in attesa di accadere.

Checklist operativa per SOC analyst e security architect

Per chi deve tradurre questa analisi in azioni concrete, ecco le priorità operative immediate:

• Verificare lo stato di HVCI/Memory Integrity su tutti gli endpoint Windows. Se disabilitato, pianificare l’attivazione con test di compatibilità. Senza HVCI, la Vulnerable Driver Blocklist di Microsoft potrebbe non essere enforced correttamente.
• Valutare il deployment di WDAC in modalità audit come primo passo, per identificare i driver caricati nell’ambiente e costruire una policy di allowlisting progressiva.
• Abilitare la regola ASR “Block abuse of exploited vulnerable signed drivers” su tutti gli endpoint con Microsoft Defender attivo.
• Implementare il monitoraggio SIEM per la creazione di servizi kernel anomali, il caricamento di driver non standard e la terminazione dei processi EDR. In particolare, monitorare chiamate DeviceIoControl verso device handle sconosciuti e la creazione di link simbolici (\??) verso driver appena installati.
• Condurre un inventario dei driver kernel attualmente caricati nell’ambiente tramite PowerShell (Get-WindowsDriver o driverquery /si) e confrontarlo con la Vulnerable Driver Blocklist di Microsoft per identificare driver a rischio già presenti.
• Verificare che l’MFA sia attiva su tutti i servizi di accesso remoto (VPN, RDP, SSH). L’incidente Huntress è iniziato con credenziali VPN senza MFA.
• Testare lo scenario “EDR down” negli esercizi di incident response e nei TLPT previsti da DORA: cosa succede se l’attaccante spegne l’EDR? Quali controlli compensativi entrano in funzione? Se la risposta è “nessuno”, l’architettura ha un problema strutturale.
• Aggiornare la Vulnerable Driver Blocklist manualmente se non si è su Windows 11 22H2 o successivo. Le versioni precedenti di Windows potrebbero avere una blocklist obsoleta.
• Implementare il monitoraggio dei driver con certificati obsoleti. Configurare regole di alerting per il caricamento di driver kernel firmati con certificati emessi prima del 2015, con particolare attenzione a quelli con timestamp di firma antecedenti al 2010.

https://www.ictsecuritymagazine.com/cyber-crime/edr-killer-byovd-endpoint/

Feb 10, 2026 Redazione In evidenza, Malware, Minacce, News, RSS, Tecnologia 0

---

I ricercatori di iVerify, un’azienda specializzata in sicurezza informatica per dispositivi mobili, ha rivelato l’arrivo nel panorama delle minacce di un nuovo, preoccupante strumento: ZeroDayRAT. Questa piattaforma spyware è emersa nel sottobosco del cybercrime su Telegram, presentandosi come una soluzione completa per il controllo remoto di dispositivi Android e iOS. Lungi dall’essere un semplice estrattore di dati, ZeroDayRAT si posiziona come un toolkit di compromissione mobile a tutto tondo in grado di offrire agli aggressori un controllo profondo e persistente sui dispositivi infetti.

Architettura e Compatibilità del Malware

ZeroDayRAT si distingue per la sua ampia compatibilità, estendendosi su un vasto spettro di versioni di sistemi operativi mobili. Gli sviluppatori pubblicizzano il supporto per le versioni Android dalla 5 alla 16, coprendo quindi sia dispositivi legacy che i più recenti aggiornamenti del sistema operativo Google. Sul fronte Apple, la compatibilità arriva fino a iOS 26, includendo le ultime versioni del sistema operativo mobile. Questa trasversalità rende ZeroDayRAT una minaccia preoccupante poiché la sua potenziale superficie di attacco è estremamente ampia. La piattaforma offre agli acquirenti un pannello di controllo completo, con una interfaccia di gestione intuitiva e centralizzata dei dispositivi compromessi, evidenziando una grande maturità nella sua concezione e implementazione.

Capacità di Monitoraggio e Raccolta Dati

Il cuore operativo di ZeroDayRAT risiede nelle sue estese capacità di sorveglianza passiva. La dashboard di gestione del malware fornisce all’operatore una panoramica dettagliata di ogni dispositivo compromesso, visualizzando informazioni cruciali come il modello del terminale, la versione del sistema operativo, lo stato della batteria, i dettagli della SIM (inclusi IMSI e IMEI), la posizione geografica del dispositivo e lo stato del blocco schermo. A un livello più granulare, il malware è in grado di registrare l’utilizzo delle applicazioni, tracciare le cronologie delle attività dell’utente e intercettare tutti gli scambi di messaggi SMS. Ulteriori sezioni del pannello permettono di visualizzare le notifiche ricevute e un elenco degli account registrati sul dispositivo, fornendo identificativi utente ed e-mail che potrebbero essere successivamente sfruttati per attacchi di brute-forcing o credential stuffing su altri servizi. Se sono stati ottenuti i permessi di accesso al GPS, ZeroDayRAT è in grado di tracciare la vittima in tempo reale, visualizzando la posizione attuale su una mappa interattiva, completa di cronologia degli spostamenti.

Operazioni Attive e Controllo Remoto

Oltre alla sorveglianza passiva, ZeroDayRAT abilita una serie di operazioni attive che consentono agli aggressori un controllo diretto sul dispositivo. Questo include la possibilità di attivare da remoto le fotocamere (sia quella anteriore che posteriore) e il microfono, fornendo flussi multimediali in tempo reale per la sorveglianza ambientale. Un modulo di registrazione dello schermo permette di catturare l’interazione dell’utente con il dispositivo, rivelando password, PIN, gesti di sblocco e altre informazioni sensibili. L’accesso ai permessi SMS è particolarmente critico: non solo consente l’intercettazione delle password monouso (OTP), facilitando il bypass dell’autenticazione a due fattori (2FA), ma permette anche l’invio di SMS dal dispositivo della vittima, potenzialmente per attività di spam, frode o diffusione del malware stesso. Ulteriormente, un modulo keylogging registra ogni input dell’utente, comprese password, pattern di sblocco e qualsiasi testo digitato, offrendo una miniera d’oro di credenziali.

Furto Finanziario Avanzato

ZeroDayRAT implementa moduli specifici per il furto finanziario, dimostrando una focalizzazione diretta sull’esfiltrazione di asset economici. Un componente dedicato al furto di criptovalute scannerizza le app wallet più comuni come MetaMask, Trust Wallet, Binance e Coinbase. Questo modulo non solo registra gli ID dei wallet e i saldi, ma tenta anche l’iniezione di indirizzi negli appunti, sostituendo gli indirizzi wallet copiati dalla vittima con indirizzi controllati dall’aggressore per deviare le transazioni. Parallelamente, un “bank stealer” prende di mira le app di online banking, le piattaforme UPI (come Google Pay e PhonePe) e servizi di pagamento come Apple Pay e PayPal. La tattica principale qui è l’utilizzo di overlay screen, ovvero schermate false che si sovrappongono all’interfaccia legittima dell’app per ingannare la vittima e indurla a inserire le proprie credenziali direttamente nelle mani dell’aggressore.

Implicazioni per la Sicurezza Aziendale e Individuale

Il toolkit ZeroDayRAT, sebbene non sia stato dettagliato il suo meccanismo di distribuzione iniziale da iVerify, rappresenta una minaccia significativa a più livelli. Per le organizzazioni, la compromissione di un dispositivo di un dipendente tramite ZeroDayRAT potrebbe fungere da punto d’ingresso per violazioni aziendali più ampie, esponendo dati sensibili e infrastrutture critiche. La capacità di intercettare OTP e credenziali, unita al keylogging e al controllo remoto, può bypassare molte delle difese perimetrali tradizionali. A livello individuale, una compromissione ZeroDayRAT porta a una totale perdita di privacy e a potenziali perdite finanziarie devastanti. La raccomandazione primaria per mitigare tali rischi rimane l’adesione rigorosa all’installazione di applicazioni esclusivamente dagli store ufficiali (Google Play e Apple App Store) e da sviluppatori con comprovata reputazione. Per gli utenti ad alto rischio, l’attivazione di funzionalità di sicurezza avanzate come la “Modalità Lockdown” su iOS e la “Protezione Avanzata” su Android è fortemente consigliata, poiché queste opzioni sono progettate per limitare l’esposizione a exploit e malware sofisticati.

---

• 2FA bypass, cybercrime, furto criptovalute, iVerify, keylogging, malware mobile, sicurezza Android, sicurezza iOS, sicurezza IT, sorveglianza remota, spyware mobile, Threat Hunting, ZeroDayRAT

---

---

https://www.securityinfo.it/2026/02/10/zerodayrat-la-nuova-minaccia-per-android-e-ios/?utm_source=rss&utm_medium=rss&utm_campaign=zerodayrat-la-nuova-minaccia-per-android-e-ios

“When I was a black hat hacker, I was isolated and paranoid,” he wrote. “Working with the good guys, being part of a team solving a bigger problem felt surprisingly good. I realized that I could use my technical skills to make a difference.”

Lichtenstein, who did not immediately respond to Ars’ request for comment, noted that he was sentenced to 60 months in prison and spent “nearly [four] years in some of the harshest jails in the country.” While in prison, Lichtenstein says that he spent as much time as he could in the prison library studying math books to engage his mind and distract himself from his surroundings.

The 38-year-old added that he was “released to home confinement earlier this month.”

Convicted hackers cooperating with federal authorities or turning their lives around is not without precedent.

One notable example is the late Kevin Mitnick, who was convicted of multiple phone and computer crime cases in the 1980s and 1990s. Mitnick eventually started his own security consulting company and became a penetration tester and public speaker for many years before his death in 2023.

“Now begins the real challenge of regaining the community’s trust,” Lichtenstein concluded, noting that he wants to work in cybersecurity.

“I think like an adversary,” he said. “I’ve been an adversary. Now I can use those same skills to stop the next billion-dollar hack.”

https://arstechnica.com/security/2026/01/hacker-who-stole-120000-bitcoins-wants-a-second-chance-and-a-security-job/

Nel 2026 il cybercrime è diventato un fattore strutturale di rischio per Stati, imprese e società. Non si manifesta più come una sequenza di episodi isolati, ma come un fenomeno continuo, organizzato e sempre più integrato nelle dinamiche economiche e geopolitiche globali.

Cyber Crime Conference 2026: comprendere le minacce, costruire la difesa

La Cyber Crime Conference 2026 nasce per offrire una lettura chiara e operativa di questo scenario, concentrandosi sui temi che oggi incidono realmente sulla sicurezza digitale.

L’intelligenza artificiale ha accelerato in modo significativo l’evoluzione del cybercrime. Attacchi più rapidi, mirati e difficili da attribuire convivono con strumenti difensivi sempre più avanzati. La sfida non è più l’adozione dell’AI, ma la sua governance: comprendere come cambia la superficie di attacco, quali nuovi rischi emergono e come utilizzare queste tecnologie in modo efficace per la prevenzione, l’indagine e la risposta agli incidenti.

Il confine tra criminalità informatica, spionaggio e pressione geopolitica è ormai sempre più sfumato. Le infrastrutture critiche, i servizi essenziali e le supply chain tecnologiche sono diventati obiettivi strategici, mentre la cooperazione internazionale tra forze dell’ordine, magistratura e istituzioni sovranazionali rappresenta un elemento decisivo per il contrasto efficace al cybercrime.

Accanto alla dimensione tecnica, cresce il tema della fiducia digitale. L’abuso delle identità, la manipolazione dell’informazione, i deepfake e le campagne di disinformazione incidono direttamente su processi decisionali, reputazione e stabilità sociale. La sicurezza informatica si estende così oltre i sistemi, coinvolgendo persone, dati e processi.

La Cyber Crime Conference 2026 affronta inoltre l’evoluzione delle indagini digitali in un contesto dominato da cloud, automazione e ambienti distribuiti. La raccolta e la gestione della prova digitale, l’efficacia delle attività di incident response e il contrasto alle tecniche di anti-forensics richiedono oggi competenze sempre più specialistiche e un dialogo costante tra pubblico e privato.

La Cyber Crime Conference si terrà il 6 e 7 maggio 2026 a Roma presso l’Auditorium della Tecnica e si configura come un evento B2B, pensato per professionisti, istituzioni e aziende che operano nel settore della sicurezza digitale. La partecipazione è gratuita, previa registrazione online, a conferma della volontà di favorire un confronto aperto e qualificato sui temi più attuali del cybercrime.

Un appuntamento orientato all’azione e al confronto di alto livello, dove visione strategica ed esperienza operativa si incontrano per affrontare le sfide più rilevanti della sicurezza digitale contemporanea.

https://www.ictsecuritymagazine.com/notizie/cyber-crime-conference-2/

Microsoft announced on Wednesday that it has teamed up with law enforcement to target RedVDS, a cybercrime service that has facilitated a wide range of malicious activities. 

Launched in 2019, RedVDS is a virtual dedicated server (VDS) service that enables cybercriminals to set up disposable Windows-based RDP servers that they can then leverage for mass phishing, BEC attacks, financial fraud, and account takeover.

A subscription costs as little as $24 per month, but reported fraud losses tied to RedVDS total $40 million in the US alone, Microsoft said. As an example, the tech giant named an Alabama pharmaceutical company that lost over $7.3 million following a BEC attack that involved the cybercrime service.

According to Microsoft, cybercriminals have used RedVDS to target organizations in the United States, the United Kingdom, Canada, France, Germany, and Australia, including sectors such as legal, manufacturing, healthcare, real estate, construction, and education. 

The tech giant tracks the threat group that operates and develops RedVDS as Storm-2470.

Microsoft was able to link many attacks to RedVDS due to most of the virtual servers using the same base Windows installation. The servers were generated from the same Windows Server 2022 image, and the server instances had the same computer name.

“This host fingerprint appears in RDP certificates and system telemetry, serving as a core indicator of RedVDS activity. The underlying trick is that Storm-2470 created one Windows virtual machine (VM) and repeatedly cloned it without customizing the system identity,” Microsoft explained.

These RedVDS servers do not conduct the actual malicious activity on their own. Instead, they can be provisioned by threat actors for malicious activities.

The company’s analysis showed that the RedVDS servers were used for a wide range of purposes. Some cybercriminals installed mass mailer utilities that they used to send out spam and phishing emails. Others installed email address harvesters that enabled them to create target lists.

Cybercriminals also installed privacy-focused browsers and VPNs on their servers, as well as remote access tools such as AnyDesk. Some of the service’s users also leveraged AI tools to improve their operations, Microsoft reported. 

The company saw, in just one month, 2,600 RedVDS VMs sending an average of one million phishing emails per day to Microsoft customers.

“While most were blocked or flagged as part of the 600 million cyberattacks Microsoft blocks per day, the sheer volume meant a small percentage may have succeeded in reaching the targets’ inbox,” Microsoft said. “Since September 2025, RedVDS‑enabled attacks have led to the compromise or fraudulent access of more than 191,000 Microsoft email accounts across over 130,000 organizations worldwide.”

RedVDS disrupted

Microsoft has teamed up with international law enforcement to disrupt RedVDS. Actions taken against the cybercrime service include the seizure of domains associated with the RedVDS marketplace and customer portal.

Key servers have also been seized, and Microsoft is working with law enforcement to disrupt payment networks associated with the service.

Microsoft has filed legal action in the United States — and for the first time in the United Kingdom — in an effort to disrupt RedVDS infrastructure and identify the individuals behind the operation.

The news comes just months after Microsoft and Cloudflare teamed up to disrupt the RaccoonO365 phishing service. Some of the threat actors that used the RaccoonO365 service before its takedown have also used RedVDS.

Related: Microsoft Disrupts ONNX Phishing Service, Names Its Operator

Related: Google Says Chinese ‘Lighthouse’ Phishing Kit Disrupted Following Lawsuit 

Related: RaccoonO365 Phishing Service Disrupted, Leader Identified

https://www.securityweek.com/redvds-cybercrime-service-disrupted-by-microsoft-and-law-enforcement/

Using fake accounts and synthetic data to lure the hackers, the researchers gathered information on their servers.

The post Researchers Trap Scattered Lapsus$ Hunters in Honeypot appeared first on SecurityWeek.

https://www.securityweek.com/researchers-trap-scattered-lapsus-hunters-in-honeypot/

Ritorna in primo piano l’attacco cyber contro l’Asl 1 di Avezzano-Sulmona-L’Aquila del 2023, che aveva causato la violazione di dati sensibili personali di oltre 10mila persone. La vicenda è tornata al centro delle cronache grazie ad una recente inchiesta di Report sul Garante Privacy, oltreché per la richiesta di un risarcimento da 2,5 milioni di euro.

È stato infatti questo, secondo il Centro, “il contenuto della diffida stragiudiziale presentata contro la Asl 1 abruzzese dagli avvocati Marco Colantoni, del foro dell’Aquila, e Pier Luigi D’Amore, del foro di Avezzano“.

“La richiesta“, si legge ancora sul quotidiano abruzzese, “attualmente riguarda solo alcune tra le tante vittime del furto“. Il loro numero potrebbe però aumentare nei prossimi giorni. L’istanza “si muove su un binario parallelo rispetto al procedimento penale, le cui indagini, non concluse, sono seguite dalla Procura di Campobasso“.

Una attacco cyber senza precedenti

L’Asl 1 aveva subìto un attacco ransomware da parte del gruppo hacker criminale Monti, esfiltrando i dati di numerosi dei pazienti. Tra questi, anche gli esami medici di Matteo Messina Denaro, allora in carcere nel capoluogo abruzzese.

Per non divulgarli il gruppo aveva chiesto un riscatto. La richiesta era avvenuta attraverso una lettera pubblicata sul darkweb, rivolta direttamente a Ferdinando Romano, il direttore della Asl 1 e al Presidente della Regione Marco Marsilio.

In realtà, oltre alla lettera si era proceduto a pubblicare su un forum i primi 10 gigabyte esfiltrati dal database della Asl. In quel caso, la platea di potenziali interessati era di circa 300mila cittadini.

Solo un ammonimento

Nonostante l’importanza e la mole dei dati rubati, le conseguenze erano state molto blande. All’epoca, infatti, il Garante Privacy si era limitato ad ammonire “tale titolare del trattamento per aver violato le disposizioni“.

Non era arrivata nessuna sanzione. La scelta di non adottare delle misure più pesanti era avvenuta in ragione della “sua cooperazione, ben oltre gli obblighi previsti dalla legge” della stessa Azienda.

Il tutto, pur accertando una serie di importanti violazioni nel trattamento dei dati. Su tutte, la mancata adozione di misure adeguate. Sia per “rilevare tempestivamente la violazione dei dati personali“, che “a garantire la sicurezza delle reti e di misure organizzative per assicurare la consapevolezza e l’accesso degli incaricati ai sistemi“.

È su questo punto che, secondo D’Amore e Colantoni, si gioca tutta la partita. Questa la loro linea: “Il Garante ha accertato le violazioni. È un fatto pressoché incontrovertibile e il presupposto fondamentale per procedere“.

Secondo Report, al contrario, la volontà di non punire l’Asl 1 doveva ricollegarsi ad un evidente conflitto d’interesse. “Il programma“, ha scritto il Centro, “aveva messo a fuoco in particolare il rapporto tra Guido Scorza, componente del collegio dell’Authority, e lo studio legale E-Lex, che lo stesso Scorza aveva fondato. Studio legale poi assunto dalla Asl aquilana per difendere i propri interessi dalle conseguenze legali del furto di dati.

Leggi le altre notizie sull’home page di Key4biz

https://www.key4biz.it/attacco-cyber-contro-lasl-1-dellaquila-chiesti-danni-per-25milioni-di-euro-eppure-il-garante-privacy-si-era-limitato-ad-un-ammonimento/559588/

La migrazione massiva verso architetture cloud ha ridefinito completamente i paradigmi dell’informatica forense. Se per decenni la digital forensics si è sviluppata intorno al concetto di acquisizione di dispositivi fisicamente delimitati – hard disk, server on-premise, dispositivi mobili – oggi ci troviamo di fronte a una realtà dove i confini tra evidenze digitali, infrastrutture e giurisdizioni sono diventati labili, quando non del tutto evanescenti.

Il cloud computing, nella sua essenza distribuita e virtualizzata, rappresenta molto più di una semplice evoluzione tecnologica: costituisce una rottura epistemologica rispetto ai fondamenti stessi dell’investigazione digitale. La questione non è più “dove si trova la prova”, ma piuttosto “come possiamo garantire l’integrità e l’ammissibilità di un’evidenza che non esiste in un luogo fisico determinabile e che condivide risorse computazionali con centinaia di altri soggetti giuridici?”.

Multi-tenancy: quando la segregazione logica diventa questione forense

L’architettura multi-tenant – pietra angolare dell’efficienza economica del cloud – rappresenta il primo, fondamentale nodo problematico per l’investigatore digitale. In questi ambienti, molteplici entità giuridicamente distinte condividono non solo l’infrastruttura hardware sottostante, ma spesso anche layer applicativi, storage pool e risorse di rete virtualizzate. La segregazione logica sostituisce quella fisica, affidandosi a meccanismi di isolamento implementati via software: hypervisor, container, policy di accesso, crittografia a livello di tenant.

Dal punto di vista forense, questa condivisione introduce rischi di contaminazione probatoria senza precedenti nel mondo on-premise. L’acquisizione di un’immagine forense tradizionale – il gold standard della disciplina – diventa tecnicamente impossibile o giuridicamente inammissibile. Come si può procedere al sequestro di un intero storage array quando questo contiene simultaneamente dati di decine di organizzazioni, molte delle quali del tutto estranee all’indagine? La risposta ovvia – acquisire solo i dati del tenant sotto investigazione – apre però ulteriori interrogativi sulla completezza dell’evidenza e sulla possibilità di alterazioni.

Il rischio di cross-contamination non è meramente teorico. In ambienti virtualizzati, fenomeni di data bleeding attraverso cache condivise, side-channel attacks, o semplicemente errori di configurazione nelle politiche di isolamento, possono portare a fughe di dati tra tenant. Per l’investigatore, verificare l’assenza di tali contaminazioni richiede una comprensione profonda dell’architettura del cloud service provider, informazioni che raramente sono accessibili per ragioni di sicurezza e segreto industriale.

Come evidenziato nella letteratura specialistica su cloud computing forensics, le criticità dovute alla volatilità delle risorse virtualizzate e all’inaccessibilità delle risorse fisiche rappresentano ostacoli significativi per qualsiasi indagine digitale.

La catena di custodia nel paradigma ibrido: continuità o fiction giuridica?

Se il multi-tenant complica l’acquisizione, gli ambienti cloud ibridi mettono in crisi il concetto stesso di chain of custody. La catena di custodia – principio cardine dell’ammissibilità probatoria – presuppone la capacità di documentare ogni passaggio della prova, dalla sua acquisizione fino alla sua presentazione in sede giudiziaria, garantendo che non vi siano state alterazioni, sostituzioni o manipolazioni.

In un ambiente ibrido, dove i dati migrano dinamicamente tra infrastrutture on-premise, cloud privati e cloud pubblici, spesso attraversando molteplici giurisdizioni nel corso di normali operazioni business, questa documentazione diventa straordinariamente complessa. Un file oggetto di indagine potrebbe essere stato creato in un data center aziendale in Italia, replicato automaticamente in un cloud storage AWS situato in Irlanda per ragioni di business continuity, processato da un servizio di analytics ospitato su Google Cloud in Belgio, e infine archiviato in forma compressa su Azure negli Stati Uniti, il tutto nell’arco di poche ore e senza alcun intervento umano.

Ciascun “salto” in questa catena rappresenta un potenziale punto di rottura forense. Come garantire che i timestamp siano affidabili quando attraversano time zone e sistemi con clock potenzialmente non sincronizzati? Come documentare le trasformazioni che il dato subisce – compressione, crittografia, de-duplicazione – mantenendo la possibilità di risalire alla forma originale? Come tracciare chi ha avuto accesso al dato quando i log sono anch’essi distribuiti tra sistemi diversi, gestiti da fornitori diversi, soggetti a politiche di retention diverse?

Il quadro normativo italiano: tra evoluzione e lacune

La legislazione italiana, con il Codice di procedura penale e le sue norme sull’acquisizione di prove informatiche, è stata concepita in un’era pre-cloud. L’articolo 247, comma 1-bis del c.p.p. sulla perquisizione di sistemi informatici, introdotto con la Legge 48/2008 di ratifica della Convenzione di Budapest, stabilisce che quando vi è fondato motivo di ritenere che dati, informazioni o programmi informatici pertinenti al reato si trovino in un sistema informatico o telematico, “ne è disposta la perquisizione, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e ad impedirne l’alterazione”.

Analogamente, l’articolo 244, comma 2 del c.p.p. sulle ispezioni prevede la possibilità di disporre operazioni tecniche “anche in relazione a sistemi informatici o telematici, adottando misure tecniche dirette ad assicurare la conservazione dei dati originali e la loro inalterabilità”.

Tuttavia, queste disposizioni non affrontano esplicitamente le peculiarità degli ambienti distribuiti e multi-tenant. L’articolo 254-bis del c.p.p. sul sequestro di dati informatici presso fornitori di servizi, pur consentendo l’acquisizione mediante copia su adeguato supporto, non disciplina specificamente le situazioni in cui i dati siano replicati in più giurisdizioni o condividano risorse con altri soggetti.

Il recente disegno di legge che ha introdotto l’articolo 254-ter del c.p.p. rappresenta un importante passo avanti nella direzione di una maggiore proceduralizzazione del sequestro di dispositivi elettronici, ma permangono zone grigie interpretative dove prassi operative e principi giurisprudenziali devono essere costantemente adattati a una realtà tecnologica in rapida evoluzione.

Metodologie forensi adattive: tra compromessi tecnici e garanzie legali

Di fronte a queste complessità, la comunità forense ha sviluppato approcci metodologici alternativi, che rappresentano però altrettanti compromessi rispetto agli standard tradizionali. L’acquisizione “live” – la raccolta di dati da sistemi in funzione – diventa spesso l’unica opzione praticabile in ambienti cloud dove il concetto di “spegnimento” è privo di significato o comporterebbe la distruzione di evidenze volatili.

Le snapshot di macchine virtuali offrono un surrogato dell’immagine forense completa, ma sollevano interrogativi sulla loro affidabilità. Una snapshot è realmente una rappresentazione fedele dello stato del sistema al momento dell’acquisizione, o può essere influenzata da operazioni di copy-on-write, cache non ancora sincronizzate, o stato di memoria non persistito? La risposta dipende dall’implementazione specifica dell’hypervisor e dalle configurazioni del cloud provider, creando una dipendenza dalla “black box” del fornitore che è antitetica ai principi di verificabilità e riproducibilità della scienza forense.

L’utilizzo di API proprietarie per l’estrazione di dati introduce un’ulteriore mediazione tra investigatore e evidenza. Quando si richiede a un cloud provider l’esportazione di determinati dati attraverso le sue API, si sta implicitamente delegando a tale provider il processo di selezione e formattazione dell’evidenza. Come garantire che l’API non stia omettendo metadati rilevanti? Come verificare che il processo di esportazione non abbia alterato timestamp o altre proprietà forensemente significative?

Gli strumenti specializzati per la cloud forensics come Magnet AXIOM Cloud, Cellebrite UFED Cloud Analyzer, o i Google Cloud Forensics Utils, pur rappresentando un progresso significativo, rimangono dipendenti dalle capacità e dalle limitazioni delle piattaforme cloud sottostanti.

La dimensione giurisdizionale: il cloud come catalizzatore di conflitti normativi

La natura intrinsecamente transnazionale del cloud amplifica problematiche giurisdizionali che, pur non essendo nuove nel cybercrime, assumono qui una complessità senza precedenti. Il Regolamento (UE) 2023/1543 del 12 luglio 2023, relativo agli ordini europei di produzione e conservazione di prove elettroniche nei procedimenti penali, entrato in vigore il 18 agosto 2023 e applicabile dal 18 agosto 2026, tenta di fornire un framework per l’accesso transfrontaliero alle prove elettroniche.

Questo strumento normativo, accompagnato dalla Direttiva (UE) 2023/1544 sulla designazione di rappresentanti legali dei prestatori di servizi, rappresenta un significativo passo avanti. Il Regolamento consente alle autorità giudiziarie di emettere ordini europei di produzione direttamente ai prestatori di servizi di un altro Stato membro, con tempi di risposta di 10 giorni (8 ore in caso di emergenza), bypassando le tradizionali procedure di mutua assistenza giudiziaria che richiedevano mesi.

Tuttavia, la sua applicazione pratica in scenari cloud ibridi solleva più domande di quante ne risolva. Quando un’autorità giudiziaria italiana emette un provvedimento di acquisizione per dati ospitati in un cloud ibrido, quale entità è legittimata a dare esecuzione? Il cloud provider, che potrebbe avere sede legale in un altro Stato membro? Il cliente finale, che però potrebbe non avere accesso tecnico ai dati in questione? E se i dati sono replicati in giurisdizioni multiple, incluse giurisdizioni extra-UE, quale regime normativo prevale per quanto riguarda la protezione dei dati personali e i diritti dei soggetti coinvolti?

Il conflitto con il CLOUD Act statunitense

Il conflitto potenziale con normative extra-europee – in particolare il CLOUD Act (Clarifying Lawful Overseas Use of Data Act) statunitense, approvato il 23 marzo 2018 – introduce ulteriori livelli di complessità. Il CLOUD Act autorizza le autorità federali statunitensi a obbligare i fornitori di servizi soggetti alla giurisdizione USA a produrre dati richiesti, indipendentemente dalla loro ubicazione fisica.

Un cloud provider americano operante in Europa potrebbe trovarsi simultaneamente soggetto a un ordine di produzione da parte delle autorità italiane e a un ordine concorrente da parte delle autorità statunitensi, configurando una situazione di impossibilità giuridica che paralizza l’investigazione. Il Garante europeo della protezione dei dati (EDPB) ha considerato il CLOUD Act in conflitto con il GDPR, posizione confermata dalla Corte di giustizia dell’Unione europea nella sentenza Schrems II del 2020.

Verso una forensics “cloud-native”: ripensare i fondamenti

La constatazione che emerge da questa analisi è che gli approcci tradizionali della digital forensics, basati su acquisizione completa, verificabilità attraverso hash crittografici e catene di custodia lineari, sono sempre più inadeguati per gli ambienti cloud. Non si tratta di meri limiti tecnici superabili con strumenti migliori, ma di un’incompatibilità concettuale tra il modello forense classico e la natura stessa del cloud computing.

Forse è necessario un cambio di paradigma. Invece di tentare di adattare metodologie nate per i sistemi stand-alone al cloud, dovremmo sviluppare una forensics genuinamente “cloud-native”, che accetti la volatilità, la distribuzione e la multi-tenancy non come ostacoli ma come caratteristiche intrinseche dell’ambiente investigativo.

Questo potrebbe significare:

• Maggiore enfasi sulla registrazione continua e tamper-proof degli eventi (immutable logging)
• Utilizzo di tecnologie blockchain per certificare chain of custody distribuite
• Implementazione di meccanismi di “forensic readiness” progettati dal cloud provider stesso come parte dell’architettura di servizio
• Adozione di standard internazionali per la certificazione forensica in ambienti cloud (ISO/IEC 27050, ISO/IEC 27037)

Sul fronte normativo, è necessaria una riflessione più profonda su cosa costituisca una “prova adeguata” in un contesto cloud. Il principio di ammissibilità non può più essere binario – conforme agli standard tradizionali quindi ammissibile, non conforme quindi inammissibile – ma deve articolarsi in una valutazione più sfumata del grado di affidabilità, contestualizzata rispetto alle possibilità tecniche effettive dell’ambiente investigato.

Best practice emergenti e raccomandazioni operative

Per affrontare le sfide della cloud forensics in ambienti multi-tenant, si stanno consolidando alcune best practice:

1. Forensic readiness proattiva

Le organizzazioni dovrebbero implementare misure preventive che facilitino future indagini:

• Logging centralizzato e immutabile di tutte le operazioni
• Configurazione di retention policy adeguate per i log
• Definizione chiara dei ruoli e responsabilità nella gestione delle evidenze
• Accordi contrattuali con i cloud provider che includano clausole di cooperazione forense

2. Documentazione rigorosa

Ogni fase dell’acquisizione deve essere documentata meticolosamente:

• Timestamp sincronizzati con fonti di tempo certificate
• Metadata completi su ogni artefatto acquisito
• Registrazione di tutte le trasformazioni applicate ai dati
• Tracciabilità completa della catena di custodia anche attraverso ambienti distribuiti

3. Competenze specialistiche

Gli investigatori devono possedere:

• Conoscenza approfondita delle architetture cloud (IaaS, PaaS, SaaS)
• Familiarità con i principali cloud provider e le loro API
• Comprensione delle tecnologie di virtualizzazione e containerizzazione
• Competenze in materia di diritto internazionale e giurisdizioni concorrenti

4. Collaborazione con i provider

È essenziale stabilire:

• Canali di comunicazione diretti per situazioni di emergenza
• Procedure standardizzate per le richieste di evidenze
• Accordi di livello di servizio (SLA) che includano tempi di risposta per le richieste forensi
• Formazione congiunta su procedure e strumenti

Conclusioni: l’urgenza di un dialogo interdisciplinare

La cloud forensics non è una sfida meramente tecnica, né esclusivamente giuridica. È piuttosto il punto di convergenza dove tecnologia, diritto procedurale, diritti fondamentali e interessi economici si intrecciano in modi che sfidano le categorie tradizionali di ciascuna di queste discipline.

L’investigatore digitale del futuro dovrà possedere competenze che spaziano dall’architettura dei sistemi distribuiti al diritto internazionale, dalla crittografia alla procedura penale comparata. Ma ancor più importante, dovrà essere parte di un ecosistema collaborativo che includa cloud provider, legislatori, autorità di regolamentazione e comunità accademica, tutti impegnati a riscrivere le regole del gioco investigativo per un mondo dove “il luogo del delitto” è ovunque e in nessun luogo.

La posta in gioco non è accademica. L’incapacità di sviluppare metodologie forensi efficaci per gli ambienti cloud rischia di creare zone franche per la criminalità digitale, spazi dove l’illecito può prosperare non per mancanza di prove, ma per impossibilità di acquisirle in forme giuridicamente utilizzabili. Al contempo, risposte affrettate o tecnicamente ignoranti rischiano di compromettere diritti fondamentali – dalla privacy alla protezione dei dati personali – di soggetti del tutto estranei alle indagini.

Trovare l’equilibrio tra efficacia investigativa e tutela dei diritti in ambienti cloud ibridi e multi-tenant è forse la sfida più complessa che la digital forensics abbia mai affrontato. È una sfida che non possiamo permetterci di perdere, perché da essa dipende la credibilità stessa del sistema giudiziario nell’era digitale.

Fonti:

Codice di procedura penale italiano, artt. 244, 247, 254-bis, 254-ter

Legge 48/2008 – Ratifica Convenzione di Budapest

Regolamento (UE) 2023/1543

Direttiva (UE) 2023/1544

CLOUD Act (USA)

Regolamento (UE) 2016/679 (GDPR)

ISO/IEC 27037:2012

ISO/IEC 27050:2016 – Electronic discovery

Digital Forensics: come si evolve la legge contro i reati informatici – ICT Security Magazine

Cloud Computing Forensics: Peculiarità e Indicazioni Metodologiche – ICT Security Magazine

Cloud Computing Forensics, elementi di data security e protection – ICT Security Magazine

Regolamento europeo sugli ordini di e-evidence – EUR-Lex

Articoli del Codice di procedura penale – Filodiritto

https://www.ictsecuritymagazine.com/articoli/cloud-forensics/

Nel secondo trimestre del 2025, il ransomware ha attraversato una trasformazione tanto profonda quanto inquietante, evolvendo da minaccia informatica a ecosistema criminale complesso che richiede competenze specialistiche per essere affrontato. Secondo il rapporto Q2 2025 di Coveware by Veeam, il pagamento medio per attacco ransomware ha raggiunto 1,13 milioni di dollari, un incremento del 104% rispetto al primo trimestre dello stesso anno. Ma questa cifra racconta solo una frazione di una storia molto più complessa, dove la figura del negoziatore ransomware è emersa dall’ombra per diventare protagonista indispensabile di una crisi che coinvolge tecnologia, diritto, etica e psicologia.

Il dato più significativo riguarda la percentuale di vittime che decidono di pagare il riscatto: il 26% secondo i dati Coveware, una percentuale che si è mantenuta stabile rispetto al trimestre precedente nonostante l’aumento drammatico degli importi. Parallelamente, l’esfiltrazione dei dati ha superato la criptazione come principale metodo di estorsione: il 74% degli attacchi nel secondo trimestre 2025 ha incluso il furto di informazioni sensibili, trasformando radicalmente le dinamiche del confronto tra vittime e criminali. Come sottolinea Bill Siegel, CEO di Coveware, “il secondo trimestre del 2025 segna un punto di svolta per il ransomware, dove social engineering mirato e data exfiltration sono diventati il playbook dominante”.

Questa evoluzione ha generato una professione tanto controversa quanto necessaria: il negoziatore ransomware. Figure che operano nell’intersezione tra cybersecurity, intelligence e psicologia criminale, capaci di interfacciarsi con organizzazioni criminali sofisticate per minimizzare i danni e, quando necessario, condurre trattative che possono valere milioni di dollari. Il fenomeno solleva questioni etiche e legali complesse, ma la domanda per questi servizi non è mai stata così alta in un panorama dove, come documenta Help Net Security nell’aprile 2025, ogni decisione può determinare la sopravvivenza stessa dell’organizzazione colpita.

Il modello Ransomware-as-a-Service nel 2025

Il Ransomware-as-a-Service ha subito nel 2025 quella che Coveware definisce una crisi strutturale profonda. Il modello RaaS “rimane irrimediabilmente compromesso” dopo che i gruppi che hanno pionieristicamente utilizzato questo framework sono stati esposti come caratterizzati da conflitti interni, inganni, profitti persi e anonimato compromesso per i loro affiliati. Le operazioni di law enforcement coordinate nel 2024 hanno sistematicamente danneggiato le risorse su cui gli attori ransomware dipendono per operare, mettendo anche alcuni criminali dietro le sbarre nel caso di minacce domestiche.

Questo collasso ha dato origine a un panorama frammentato dominato da tre categorie di attori secondo l’analisi Coveware del Q1 2025: operatori solitari non affiliati (“lone wolf”), un gruppo di nuovi brand ransomware che confondono i confini tra crimine finanziario motivato, spionaggio e hacktivism, e pochi gruppi sopravvissuti dell’era precedente. RansomHub, che aveva raggiunto una quota di mercato a due cifre, è improvvisamente scomparso intorno al 2 aprile 2025, con l’infrastruttura del gruppo che si è disconnessa. Sebbene la scomparsa abbia seguito reportage recenti che collegavano RansomHub all’entità sanzionata conosciuta come Evil Corp, rimane poco chiaro se questo sia stato un fattore contribuente.

Nel secondo trimestre 2025, come documenta il rapporto ufficiale Coveware, i tre gruppi più attivi sono stati Akira con il 19% degli attacchi, Qilin con il 13% e i cosiddetti “Lone Wolf” con il 9%. Per la prima volta, Silent Ransom e Shiny Hunters sono entrati nella top five, riflettendo un panorama delle minacce dinamico con nuovi entranti che rimodellano le classifiche. Questi gruppi hanno abbandonato gli attacchi opportunistici di massa per colpi di precisione, utilizzando nuove tattiche di impersonificazione contro help desk, dipendenti e fornitori di servizi terzi.

L’intelligenza artificiale sta ulteriormente complicando il quadro. Il rapporto Q2 2025 di Check Point evidenzia come i threat actors stiano utilizzando AI per automatizzare le comunicazioni e affinare le tecniche di social engineering. Scattered Spider, Silent Ransom e Shiny Hunters hanno dominato il secondo trimestre 2025 proprio grazie a tattiche di ingegneria sociale altamente mirate, rappresentando quella che Coveware identifica come le “minacce più grandi” del periodo.

I negoziatori ransomware: professionisti nell’ombra

La figura del negoziatore ransomware si è consolidata nel 2025 come componente essenziale della risposta agli incidenti, nonostante permangano controversie etiche e legali sulla sua stessa esistenza. Come racconta Jason Baker, analista lead del GuidePoint Research and Intelligence Team in un’intervista a Assured nel febbraio 2025, “Le persone spesso ci chiedono come facciamo a essere «tranquilli» con l’idea di interagire con i threat actors. La mia risposta è che una volta che smetti di vederla come «facilitazione» di un crimine e cominci a considerarla come un modo per contenere, limitare e ostacolare l’attaccante con ogni risorsa disponibile, diventa molto più semplice.”

I negoziatori non sono improvvisati: molti provengono da background in intelligence militare, forze dell’ordine o incident response. GuidePoint Security, una delle principali società del settore attiva dal 2023, riporta che il proprio team ha “dimostrato successo nel negoziare accordi con riduzioni che superano l’85%”. Secondo un comunicato Business Wire dell’agosto 2023, le capacità di negoziazione ransomware di GRIT (GuidePoint Research and Intelligence Team) hanno ridotto la richiesta media di riscatto del 50%, con la riduzione più grande pari all’85% rispetto alla richiesta originale.

Questi professionisti operano su database proprietari di threat actors che consentono strategie negoziali basate sull’evidenza e valutazioni realistiche degli outcome probabili, un vantaggio informativo che nessuna organizzazione vittima potrebbe possedere autonomamente. Il processo negoziale si articola in fasi precise. Come spiega Richard Foster, negoziatore che attinge alla propria esperienza nella gestione delle crisi ostaggio per le forze dell’ordine britanniche in un’analisi per BankInfoSecurity nel marzo 2025, “la negoziazione è più un gioco di pensiero, in cui cerchi di essere più furbo degli hacker per guadagnare tempo e accertare informazioni preziose”.

Il caso Royal Mail del gennaio 2023, analizzato in dettaglio nell’articolo di BankInfoSecurity, illustra perfettamente il valore strategico della negoziazione anche quando non si intende pagare. Il negoziatore professionista, presentandosi come junior IT staff per ridurre la percezione di autorità decisionale, ha esteso le trattative con LockBit per tre settimane. Durante questo periodo, Royal Mail ha potuto identificare quali file erano stati esfiltrati, valutare se contenessero dati personali e preparare una strategia di risposta. L’azienda non ha mai pagato, ma la negoziazione ha trasformato una crisi caotica in un processo gestito.

Coveware, leader globale nella risposta agli incidenti ransomware e acquisita da Veeam nell’aprile 2024, ha sviluppato strumenti proprietari come Recon e Unidecrypt specificamente per supportare il processo negoziale. Recon consente di prevedere con accuratezza i costi e le tempistiche di recupero, informazioni cruciali per determinare se la negoziazione di un pagamento abbia senso economico. L’azienda sottolinea che il proprio team di case manager specializzati negozia 24/7 per conto dei clienti, liberando i team interni per concentrarsi sul recovery tecnico.

Le questioni legali ed etiche della negoziazione

La decisione di negoziare con i ransomware operators solleva immediatamente complesse questioni legali che possono trasformare la vittima in potenziale criminale. Come documenta l’analisi di DLA Piper, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro americano ha emesso nell’ottobre 2020 un advisory alle aziende che pagano o facilitano un pagamento di riscatto, avvertendole che le vittime di attacchi ransomware e le terze parti che assistono queste vittime potrebbero violare le leggi federali se pagano o facilitano il pagamento a un individuo o entità sanzionata, intenzionalmente o meno.

Le penalità possono essere criminali o civili, e le violazioni sono reati di strict liability (cioè violazioni indipendentemente dalla colpevolezza). Le multe per violazioni possono essere sostanziali, arrivando fino a 20 milioni di dollari e reclusione. L’advisory nota che penalità civili possono essere imposte per violazioni di sanzioni anche se le parti che iniziano o facilitano la transazione non sapevano o non avevano ragione di sapere di essere coinvolte in una transazione proibita.

Questo crea un dilemma kafkiano: un’organizzazione sotto attacco deve rapidamente determinare l’identità del proprio attaccante – processo lungo e spesso inconcludente – prima di poter anche solo considerare un pagamento. Come nota l’intervista a Nexus nel febbraio 2024, “negoziare e pagare sono due cose molto diverse”, e la prima fase critica consiste proprio nel verificare che eventuali fondi non finirebbero in mani proibite.

La questione è ulteriormente complicata dalla proliferazione di leggi statali. Florida, North Carolina e Tennessee hanno approvato normative che proibiscono alle entità del settore pubblico di pagare riscatti, come riporta TechTarget. A livello internazionale, secondo l’analisi di Acronis, gli stati membri dell’Unione Europea possono imporre multe per i pagamenti di riscatti nell’ambito della Direttiva NIS (Network and Information Systems Security).

Melissa K. Ventrone, leader della practice cybersecurity, data protection and privacy presso lo studio legale internazionale Clark Hill e intervistata da TechTarget, sostiene che le vittime dovrebbero assumere negoziatori professionisti proprio per navigare questi rischi legali: “I negoziatori sapranno come eseguire verifiche per assicurarsi che i pagamenti non violino le sanzioni nazionali, e avranno esperienza nella gestione delle criptovalute necessarie per effettuare un pagamento di riscatto”. Le polizze di cyber insurance spesso richiedono esplicitamente l’uso di negoziatori professionali designati dall’assicuratore.

L’FBI mantiene una posizione pubblica di forte scoraggiamento verso i pagamenti. Tuttavia, come riporta TechTarget citando l’agente Paul Vassilakos, le autorità comprendono che pagare è “una decisione di business” e che “le entità devono prendere la decisione che è nel loro miglior interesse”, aggiungendo che attacchi ransomware passati hanno distrutto organizzazioni. Il consiglio implicito, come riportato nell’intervista Nexus, è di informare comunque l’FBI delle intenzioni: “Spiegare ‘guardate, siamo in difficoltà e a meno che non ci diciate diversamente, pagheremo’ rende molto difficile perseguire un’azienda in quella situazione”.

Come prevenire gli attacchi ransomware nel 2025

La prevenzione del ransomware nel 2025 richiede un approccio radicalmente diverso rispetto al passato, principalmente perché la natura degli attacchi è cambiata. Come documenta il rapporto Coveware Q2 2025, il 74% degli incidenti ora include esfiltrazione dati, rendendo insufficienti le strategie difensive focalizzate esclusivamente sulla prevenzione della criptazione. Bill Siegel avverte: “gli attaccanti non cercano solo i vostri backup – puntano alle persone, ai processi e alla reputazione dei vostri dati”.

Il social engineering è diventato il vettore dominante nel 2025. Scattered Spider, Silent Ransom e Shiny Hunters hanno dominato il secondo trimestre 2025 utilizzando ingegneria sociale altamente mirata per violare organizzazioni attraverso settori. La guida CISA #StopRansomware, aggiornata nel maggio 2023 in collaborazione con FBI, NSA e MS-ISAC, identifica come vettori primari le credenziali compromesse, vulnerabilità non corrette e forme avanzate di ingegneria sociale. I dati Coveware Q2 2025 mostrano che compromissione delle credenziali, phishing e sfruttamento di servizi remoti continuano a dominare l’accesso iniziale.

L’implementazione dell’autenticazione multifattoriale è ora considerata requisito minimo basilare. Il caso Change Healthcare del febbraio 2024 è partito da un singolo account senza MFA. Come evidenzia Microsoft nelle proprie linee guida sulla protezione ransomware, l’MFA tradizionale via SMS non basta più nel 2025: servono soluzioni resistenti al phishing basate su hardware key o biometria per resistere agli attacchi sempre più sofisticati.

La formazione del personale ha assunto importanza critica. Secondo l’IBM Cost of a Data Breach Report 2024, le organizzazioni che stabiliscono team di incident response e testano regolarmente i loro piani IR possono ridurre il costo medio di una violazione di 232.008 dollari. Come raccomanda CISA, il training non è un evento annuale ma un processo permanente. Nel contesto 2025, questo include simulazioni di impersonificazione di help desk, riconoscimento di tecniche di social engineering avanzate e consapevolezza delle tattiche di manipolazione psicologica.

I backup rappresentano l’ultima rete di salvataggio, ma devono essere implementati correttamente. Secondo il rapporto Sophos State of Ransomware 2024, il 94% delle organizzazioni colpite nel 2024 ha subito tentativi di compromissione dei propri backup da parte dei criminali. La soluzione passa attraverso storage immutabile con object lock e air-gapped backups fisicamente separati dalla rete. Veeam raccomanda test regolari di ripristino: non basta avere i backup, devono essere funzionanti e ripristinabili in tempi ragionevoli.

Protezione ransomware: resilienza nell’wra dell’esfiltrazione

La protezione efficace nel 2025 richiede l’accettazione di una verità scomoda: la compromissione è sempre più probabile. Come sottolinea Veeam nelle proprie best practice, l’obiettivo non è più prevenire ogni attacco ma costruire resilienza operativa. Un rappresentante di Coalition Incident Response stima che il 90% delle organizzazioni ha qualche forma di backup, ma la questione critica è la viabilità: “Sono stati testati? Coprono tutti i dati necessari per ripristinare le operazioni? I backup possono essere messi in funzione in modo tempestivo? Se un’azienda ha più terabyte di dati e non ha mai eseguito un backup, potrebbero volerci settimane per ripristinare completamente”.

L’architettura Zero Trust, promossa dal National Institute of Standards and Technology, parte dal principio “never trust, always verify”. Questo approccio limita drasticamente il movimento laterale: anche se un attaccante compromette un endpoint, non può automaticamente espandersi all’intera rete. L’implementazione dello Zero Trust include verifiche continue di identità, autorizzazione per ogni richiesta di accesso e segmentazione rigorosa della rete.

La statistica più significativa riguarda l’efficacia dei pagamenti. Secondo un rapporto di febbraio 2025 di Coveware, il 25% delle aziende colpite nell’ultimo trimestre del 2024 ha pagato un riscatto, rappresentando un minimo storico che Coveware definisce “pietra miliare significativa nella lotta contro il ransomware”. Il rapporto ha anche rilevato che il pagamento mediano era di 110.890 dollari, in calo del 45% rispetto al trimestre precedente. Questa tendenza riflette investimenti crescenti in sicurezza proattiva, backup robusti e training di incident response.

Il coinvolgimento delle forze dell’ordine può accelerare significativamente identificazione e contenimento. L’IBM Cost of a Data Breach Report 2024 documenta come le organizzazioni che coinvolgono le forze dell’ordine lo facciano più di 2 settimane più velocemente delle controparti DIY: 281 giorni in media per identificare (213) e contenere (68 giorni) una violazione quando le forze dell’ordine sono coinvolte, contro 297 giorni totali (220 per identificare, 77 per contenere) quando non lo sono.

Gli attacchi ransomware del 2025: nuovi pattern

Il panorama degli attacchi nel secondo trimestre 2025 si caratterizza per la predominanza di gruppi che hanno sfruttato social engineering mirato. Come documenta il rapporto Coveware, Scattered Spider, Silent Ransom e Shiny Hunters hanno dominato il trimestre, abbandonando attacchi opportunistici di massa per colpi di precisione. Akira mantiene la leadership quantitativa con il 19% degli attacchi documentati, seguito da Qilin al 13%, mentre i “lone wolf” operatori rappresentano il 9%.

La scomparsa improvvisa di RansomHub nell’aprile 2025 illustra la volatilità dell’ecosistema. Come nota il rapporto Coveware Q1 2025, l’infrastruttura del gruppo si è disconnessa intorno al 2 aprile. Questo evento sottolinea l’efficacia delle azioni di law enforcement che, pur non eliminando il fenomeno, stanno rendendo sempre più rischiosa l’operatività dei grandi brand ransomware.

I settori più colpiti nel Q2 2025 secondo Security Brief sono i servizi professionali (19,7%), healthcare (13,7%) e consumer services (13,7%). Ma la dimensione aziendale rivela la vera strategia criminale: le organizzazioni tra 11 e 1.000 dipendenti rappresentano il 64% delle vittime secondo il rapporto Coveware Q2 2025, configurando quello che viene definito “ransomware sweet spot” – abbastanza grandi da avere risorse per un pagamento significativo, ma con difese meno mature delle grandi enterprise.

Gli attacchi del 2024 hanno lasciato cicatrici profonde. UnitedHealth/Change Healthcare ha subito perdite stimate in 3,09 miliardi di dollari secondo Sangfor. Il pagamento record da 75 milioni di dollari versato a Dark Angels da un’azienda Fortune 50, come riportato da The SSL Store, ha probabilmente creato un incentivo perverso. Come nota Help Net Security, il rapporto Zscaler suggerisce che questa cifra potrebbe aver incoraggiato altri operatori a spingere per pagamenti sempre più alti.

Rimozione ransomware: il recupero senza pagamento

Trovarsi con sistemi compromessi rappresenta lo scenario peggiore, ma le opzioni di recupero senza pagamento esistono e sono sempre più utilizzate. La checklist CISA identifica l’isolamento immediato come primo passo critico: disconnettere dalla rete non solo i sistemi evidentemente compromessi, ma tutti quelli potenzialmente a rischio, considerando che molti gruppi mantengono accessi persistenti per settimane prima dell’attacco definitivo.

L’iniziativa No More Ransom, collaborazione tra Europol e oltre 180 partner, offre strumenti di decriptazione gratuiti per oltre 160 varianti di ransomware. Tra le nuove aggiunte del 2024-2025 figurano decryptor per FunkSec, Phobos, DoNex, HomuWitch e BlackBasta. Kaspersky e altri vendor mantengono database simili, costantemente aggiornati.

Tuttavia, come spiega Cynet, per le varianti moderne che utilizzano implementazioni corrette di AES-256, la decriptazione senza chiave è matematicamente impossibile. In questi casi, le opzioni sono ripristinare da backup o accettare la perdita. Il ripristino richiede prima la certezza assoluta che ogni traccia del malware sia stata eliminata.

Il tempo di recupero varia drasticamente. Secondo Cigent, la media per un attacco ransomware è di circa 22 giorni, anche se le organizzazioni più piccole con alti livelli di preparazione possono recuperare in pochi giorni, mentre quelle più grandi meno preparate dovrebbero pianificare settimane o persino mesi di downtime. Come documenta BlackFog, quasi un terzo delle PMI americane colpite non recupera mai completamente e chiude definitivamente.

La decisione di pagare resta la più difficile. L’FBI continua a sconsigliare il pagamento, ma come nota l’esperto intervistato da Help Net Security, “se fosse solo questione legale ed etica, per principio non si dovrebbe mai pagare. Ma a volte il pagamento si riduce a decisione di business piuttosto che questione etica”. Secondo TechTarget, le organizzazioni devono valutare quanto tempo richiederebbe il recupero, quanto costerebbe quel recupero, il valore di eventuali dati persi e l’impatto del downtime.

Ransomware 2025: dalla tecnologia alla strategia organizzativa

Il ransomware nel 2025 rappresenta una minaccia multidimensionale che richiede risposte altrettanto complesse. Con pagamenti medi di 1,13 milioni di dollari nel secondo trimestre, il 26% delle vittime che paga, e il 74% degli attacchi che include ora furto di dati, l’ecosistema è radicalmente mutato. L’emergere dei negoziatori professionali come figure indispensabili sottolinea quanto la risposta al ransomware sia diventata specialistica, richiedendo competenze che spaziano dalla cybersecurity alla psicologia criminale, dal diritto internazionale alla gestione delle crisi.

Le operazioni di law enforcement stanno ottenendo risultati tangibili, anche se questi gruppi dimostrano resilienza nel riorganizzarsi. La frammentazione del modello RaaS, l’ascesa dei lone wolf attackers, e lo shift verso data exfiltration come metodo primario di estorsione stanno ridefinendo il panorama. Parallelamente, gli investimenti crescenti in prevenzione, backup immutabili, formazione del personale e architetture Zero Trust stanno progressivamente spostando il bilancio di potere.

Le organizzazioni che emergeranno più forti saranno quelle che avranno compreso una verità fondamentale: il ransomware nel 2025 non è solo problema tecnologico ma sfida organizzativa che richiede preparazione culturale, processi collaudati, e la capacità di prendere decisioni difficili sotto pressione estrema. In questa nuova realtà, avere accesso ai negoziatori professionali può significare la differenza tra recupero gestibile e disastro irrecuperabile.

https://www.ictsecuritymagazine.com/notizie/ransomware-2025/

La polizia giudiziaria italiana si trova oggi a operare in uno spazio ibrido dove la materialità fisica del reato si dissolve progressivamente in flussi di dati, tracce volatili e infrastrutture cloud distribuite su più giurisdizioni. Questa trasformazione non rappresenta semplicemente un’evoluzione degli strumenti investigativi, ma impone una ridefinizione epistemologica del concetto stesso di accertamento del fatto-reato. Quando un attacco ransomware paralizza un’infrastruttura critica, quando una frode finanziaria si consuma attraverso smart contract anonimi, quando un’operazione di spionaggio industriale avviene tramite malware persistente, gli investigatori si confrontano con una criminalità che non lascia impronte digitali nel senso tradizionale, ma genera piuttosto costellazioni di artefatti digitali la cui interpretazione richiede competenze che trascendono la formazione giuridica classica.

L’articolo 55 del Codice di Procedura Penale definisce la polizia giudiziaria come l’insieme degli ufficiali e agenti che svolgono funzioni di prevenzione e repressione dei reati, dovendo prendere notizia dei reati, impedire che vengano portati a conseguenze ulteriori, ricercarne gli autori e compiere gli atti necessari per assicurare le fonti di prova. Questa definizione, cristallizzata in un’epoca in cui il crimine aveva ancora coordinate spaziotemporali definite, oggi si scontra con realtà investigative dove l’autore del reato può trovarsi in una giurisdizione, i server utilizzati in un’altra, i dati compromessi in una terza, e le conseguenze dannose manifestarsi in una quarta. La polizia giudiziaria deve quindi operare simultaneamente su piani giuridici, tecnici e geopolitici che si intersecano in modi imprevedibili.

L’asimmetria tra velocità dell’attacco e tempi dell’accertamento

Una delle contraddizioni più acute che caratterizza l’attività della polizia giudiziaria in ambito cyber riguarda la discrasia temporale tra la rapidità con cui si consumano i crimini informatici e la necessaria ponderazione dell’azione investigativa vincolata al rispetto delle garanzie procedurali. Un attacco DDoS può saturare un’infrastruttura in pochi minuti, un data breach può estrarre terabyte di informazioni in ore, ma l’acquisizione probatoria di questi eventi deve seguire protocolli forensi che garantiscano l’integrità della prova, la catena di custodia, l’irripetibilità degli atti quando necessario.

Questa tensione tra urgenza operativa e rigore procedurale non è risolvibile attraverso scorciatoie normative, ma richiede piuttosto una profonda comprensione tecnica che permetta agli investigatori di identificare quali dati sono volatili e quindi da cristallizzare immediatamente, e quali invece possono essere oggetto di successive analisi più approfondite.

La memoria RAM di un sistema compromesso, i log temporanei dei firewall, le sessioni attive nelle connessioni di rete rappresentano elementi probatori che esistono in una finestra temporale ristretta. La polizia giudiziaria deve quindi sviluppare capacità di triage investigativo che permettano di prioritizzare le attività di acquisizione sulla base non solo della rilevanza penale, ma anche della persistenza tecnica delle evidenze digitali. Questo approccio richiede una formazione che integri la conoscenza del diritto processuale penale con competenze sistemistiche profonde su architetture di rete, sistemi operativi, protocolli di comunicazione e tecniche di persistence del malware.

Il nodo gordiano della giurisdizione digitale

La dimensione transnazionale del cybercrime pone alla polizia giudiziaria sfide che non trovano facile risoluzione nel framework normativo tradizionale. La Convenzione del Consiglio d’Europa sulla criminalità informatica, firmata a Budapest il 23 novembre 2001 e ratificata dall’Italia con la legge 18 marzo 2008, n. 48, ha rappresentato il primo tentativo organico di armonizzazione delle norme penali sostanziali e delle procedure investigative in materia di crimini informatici. Tuttavia, l’applicazione pratica di questi strumenti cooperativi si scontra con tempi di risposta alle rogatorie internazionali spesso incompatibili con la volatilità delle prove digitali. Un server utilizzato per un attacco può essere dismesso e riconfigurato in ore, vanificando qualsiasi tentativo di acquisizione probatoria che richieda il passaggio attraverso canali diplomatici tradizionali.

In questo contesto, emergono pratiche investigative ibride che cercano di bilanciare la sovranità territoriale con l’efficacia dell’azione di contrasto. L’accesso transfrontaliero ai dati conservati in cloud, la cooperazione diretta tra forze di polizia bypassando parzialmente i canali diplomatici, l’utilizzo di strumenti di hacking legale per accedere a sistemi ubicati in altre giurisdizioni rappresentano tutte strategie che sollevano complessi interrogativi di legittimità costituzionale e compatibilità con i diritti fondamentali. La polizia giudiziaria italiana, operando nel perimetro della Procura Europea (EPPO) – divenuta operativa il 1° giugno 2021 – e nel framework della cooperazione Europol, deve navigare tra questi strumenti con consapevolezza dei rischi di invalidità probatoria e delle implicazioni geopolitiche delle proprie azioni.

Digital forensics: quando la tecnica diventa diritto

L’attività di digital forensics rappresenta il momento cruciale in cui competenza tecnica e rilevanza giuridica si fondono indissolubilmente. L’acquisizione forense di un sistema informatico non è un’operazione neutra di mera copia di dati, ma un’attività investigativa che deve garantire simultaneamente l’integrità informatica dell’evidenza e la sua utilizzabilità processuale. La metodologia forense richiede la generazione di hash crittografici che certifichino l’immodificabilità dei dati acquisiti, la documentazione completa di ogni passaggio della catena di custodia, l’utilizzo di strumenti validati dalla comunità scientifica, la produzione di report che siano comprensibili anche a giudici privi di formazione tecnica specifica.

Questa convergenza tra rigore scientifico e utilizzabilità processuale si manifesta in modo particolare nella gestione delle prove informatiche irripetibili. L’articolo 360 del Codice di Procedura Penale prevede che quando gli accertamenti riguardano persone, cose o luoghi il cui stato è soggetto a modificazione, il pubblico ministero avvisa senza ritardo la persona sottoposta alle indagini, la persona offesa dal reato e i difensori del giorno, dell’ora e del luogo fissati per il conferimento dell’incarico e della facoltà di nominare consulenti tecnici.

Nel contesto digitale, la qualificazione di un’attività come irripetibile diventa questione di estrema delicatezza tecnica. L’accesso a un sistema crittografato potrebbe essere irripetibile se l’autore del reato, avvisato dell’indagine, modificasse le credenziali. L’analisi della memoria volatile di un sistema è per definizione irripetibile. Ma l’acquisizione di un hard disk è irripetibile o può essere oggetto di successive perizie? La risposta dipende dalla comprensione tecnica delle modalità di acquisizione utilizzate e delle garanzie di integrità implementate.

L’intelligenza artificiale come sfida epistemologica

L’ingresso dell’intelligenza artificiale sia come strumento investigativo che come vettore di attacco introduce un ulteriore livello di complessità nell’attività della polizia giudiziaria. L’utilizzo di algoritmi di machine learning per l’analisi di grandi volumi di dati sequestrati, per l’identificazione di pattern comportamentali sospetti, per la correlazione di informazioni provenienti da fonti eterogenee solleva interrogativi fondamentali sulla spiegabilità delle decisioni investigative. Quando un sistema di AI suggerisce una connessione tra eventi apparentemente non correlati, sulla base di quali parametri la polizia giudiziaria può considerare questa indicazione come elemento indiziario utilizzabile? La «black box» algoritmica è compatibile con il principio di verificabilità e contestabilità della prova tipico del processo penale?

Parallelamente, la criminalità organizzata e gli attori di minaccia avanzata (APT) stanno integrando nelle proprie operazioni strumenti di AI generativa per la creazione di malware polimorfico, per la produzione di contenuti deepfake utilizzati in truffe sofisticate, per l’automazione di attacchi di social engineering su larga scala. La polizia giudiziaria deve quindi sviluppare capacità di riconoscimento e analisi di questi artefatti sintetici, comprendendo i limiti tecnici degli attuali strumenti di detection e le implicazioni probatorie dell’attribuzione di contenuti generati artificialmente.

La formazione continua come imperativo categorico

La velocità di evoluzione tecnologica impone alla polizia giudiziaria un ripensamento radicale dei modelli di formazione. Non è più sufficiente formare specialisti cyber che affiancano gli investigatori tradizionali. È necessario che ogni operatore di polizia giudiziaria possieda una literacy digitale di base che gli permetta di riconoscere la rilevanza investigativa di evidenze digitali anche in contesti apparentemente tradizionali. Un’indagine per omicidio può richiedere l’analisi dei metadati di geolocalizzazione degli smartphone. Un’indagine per corruzione può necessitare l’esame di wallet di criptovalute. Un’indagine per traffico di stupefacenti può coinvolgere l’analisi di comunicazioni su piattaforme crittografate.

Questa formazione non può limitarsi agli aspetti tecnici, ma deve integrare la comprensione delle implicazioni giuridiche delle tecnologie investigative. L’utilizzo di trojan di Stato per l’intercettazione di comunicazioni informatiche, disciplinato in Italia dall’articolo 266-bis del Codice di Procedura Penale, richiede agli investigatori la comprensione non solo delle modalità tecniche di deployment del captatore informatico, ma anche dei limiti costituzionali di utilizzo di tali strumenti, delle garanzie richieste per la loro attivazione, delle modalità di verbalizzazione delle attività svolte. La formazione deve quindi essere interdisciplinare, coinvolgendo giuristi, informatici, esperti di intelligence e accademici in un dialogo costante.

Il bilanciamento tra sicurezza e diritti fondamentali

La polizia giudiziaria opera in una tensione permanente tra l’esigenza di efficacia investigativa e il rispetto dei diritti fondamentali garantiti dalla Costituzione e dalla Carta dei diritti fondamentali dell’Unione Europea. Nel contesto digitale, questa tensione assume connotazioni particolarmente acute. La data retention, la conservazione generalizzata dei dati di traffico telefonico e telematico per finalità investigative, è stata oggetto di ripetute censure da parte della Corte di Giustizia dell’Unione Europea che, con sentenze del 2014, del 2020 e del 2022, ha ritenuto tale pratica – quando generalizzata e indiscriminata – incompatibile con i principi di proporzionalità e necessità. Eppure, l’accesso ai tabulati telefonici e ai log di connessione rappresenta spesso l’unico strumento investigativo efficace per ricostruire la dinamica di crimini informatici complessi.

La cifratura end-to-end delle comunicazioni, sempre più diffusa nelle piattaforme di messaggistica, pone interrogativi sulla sostenibilità del modello investigativo tradizionale basato sull’intercettazione. Le proposte normative che ipotizzano l’introduzione di backdoor crittografiche per consentire l’accesso lawful alle comunicazioni cifrate vengono contestate dalla comunità scientifica come intrinsecamente insicure e suscettibili di abuso. La polizia giudiziaria si trova quindi a dover operare in un ecosistema digitale dove ampie porzioni di comunicazioni e transazioni sono tecnicamente inaccessibili, richiedendo lo sviluppo di strategie investigative alternative basate sull’analisi dei metadati, sull’infiltrazione sotto copertura, sull’utilizzo di fonti umane.

Prospettive: verso una polizia giudiziaria 5.0

L’evoluzione della polizia giudiziaria nell’era digitale non può essere concepita come un semplice aggiornamento tecnologico dell’apparato investigativo esistente, ma richiede una trasformazione culturale e organizzativa profonda. La specializzazione settoriale, che ha caratterizzato storicamente l’organizzazione delle forze di polizia, deve essere integrata da capacità trasversali di comprensione dei fenomeni tecnologici che permeano ogni tipologia di reato. Le sezioni di polizia giudiziaria specializzate in crimini informatici non possono più essere percepite come reparti specialistici separati, ma devono diventare hub di competenza che irradiano conoscenza e supporto a tutte le articolazioni investigative.

La cooperazione pubblico-privato diventa elemento strategico irrinunciabile. Le infrastrutture digitali critiche sono prevalentemente gestite da operatori privati, i fornitori di servizi cloud detengono dati essenziali per le indagini, le aziende di cybersecurity producono intelligence sulle minacce che può essere cruciale per le attività investigative. La polizia giudiziaria deve quindi sviluppare protocolli di collaborazione che garantiscano la tempestività dell’accesso alle informazioni rispettando i vincoli di riservatezza investigativa e i limiti normativi alla condivisione di dati personali.

La dimensione predittiva e preventiva acquista rilevanza crescente. L’analisi di big data provenienti da fonti aperte, il monitoraggio di indicatori di compromissione nelle reti, l’intelligence su gruppi criminali emergenti permettono alla polizia giudiziaria di anticipare fenomeni criminali prima che producano danni irreparabili. Questo shift da un modello puramente reattivo a uno proattivo solleva ulteriori questioni etiche e giuridiche sulla legittimità di interventi basati su probabilità statistiche piuttosto che su fatti-reato già consumati.

Conclusioni: il diritto alla prova nell’era dell’immaterialità

La sfida fondamentale che la polizia giudiziaria deve affrontare nell’era digitale riguarda la preservazione del diritto alla prova in un ecosistema tecnologico sempre più complesso, distribuito e inaccessibile. La legitimacy del sistema penale si fonda sulla possibilità di accertare i fatti attraverso un contraddittorio probatorio dove accusa e difesa possano confrontarsi su evidenze verificabili e contestabili. Quando le prove diventano artefatti digitali la cui interpretazione richiede competenze specialistiche raramente disponibili anche nelle difese tecnicamente attrezzate, quando le tecniche investigative si basano su strumenti proprietari non verificabili indipendentemente, quando le decisioni algoritmiche influenzano le direzioni investigative senza essere pienamente comprensibili, il rischio è quello di un’erosione della parità delle armi processuali.

La polizia giudiziaria ha quindi la responsabilità non solo di sviluppare efficaci capacità investigative tecnologiche, ma anche di garantire che queste capacità siano esercitate in modo trasparente, verificabile, sottoposto a controllo giurisdizionale effettivo. La documentazione completa delle metodologie utilizzate, la validazione scientifica degli strumenti forensi, la formazione dei magistrati sui limiti e le potenzialità delle prove digitali, la disponibilità di perizie difensive realmente contrapponibili non sono accessori tecnici ma garanzie costituzionali essenziali. Solo preservando questi equilibri la polizia giudiziaria può continuare a svolgere la sua funzione di accertamento della verità processuale in un mondo dove la materialità fisica del crimine è sempre più un’eccezione che una regola.

https://www.ictsecuritymagazine.com/articoli/polizia-giudiziaria/