Lunedi 06 Luglio 2026 21:50:09 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Ransomware ed estorsione

Quando il ransomware acceca prima il sistema di allarme

Pubblicato: 20 Giugno 2026 08:04Categoria: Ransomware ed estorsioneAutore: NEBULASCOUT

Un presunto kit di strumenti Gentlemen basato su HexKiller, ThrottleBlood e HavocKiller segnala una minaccia più dura: gruppi ransomware che cercano di mettere a tacere l'EDR prima dell'inizio della cifratura.

La parte più rivelatrice del ransomware moderno non è sempre il cifratore. A volte è il passaggio che lo precede: il tentativo silenzioso di accecare il difensore. Una recente analisi collegata all'operazione ransomware-as-a-service Gentlemen descrive una suite pensata per disabilitare il software di sicurezza prima dell'esecuzione del payload principale, con nomi dei componenti tra cui HexKiller, ThrottleBlood e HavocKiller. Questo conta perché, una volta ridotta la visibilità sugli endpoint, il resto dell'intrusione può procedere più velocemente e con meno resistenza.

Fatti rapidi

  • Gentlemen è descritto come un'operazione ransomware-as-a-service associata a una suite per uccidere l'EDR.
  • La suite riportata combina tre componenti nominati: HexKiller, ThrottleBlood e HavocKiller.
  • Compromettere la difesa prima della cifratura può ridurre gli avvisi, le opzioni di risposta e la velocità di contenimento.
  • Un probabile schema tecnico è il BYOVD, o bring-your-own-vulnerable-driver, in cui un driver legittimo viene abusato per terminare i processi di sicurezza.
  • La telemetria di caricamento dei driver e gli avvisi di protezione contro le manomissioni sono tra i segnali di maggior valore in questo tipo di attacco.

Perché l'interruttore di spegnimento conta

L'EDR non è solo antivirus con un'etichetta nuova. È il livello che può rilevare comportamenti sospetti, supportare la risposta in tempo reale e aiutare i soccorritori a contenere un incidente in tempo reale. Se gli attaccanti riescono a interferire prima con questo livello, potrebbero non aver bisogno di una catena di exploit perfetta. Devono solo ottenere accesso sufficiente per disattivare gli allarmi prima di iniziare a muoversi lateralmente o lanciare la cifratura.

Ecco perché il modello tecnico alla base di molti killer di AV ed EDR è così pericoloso. Nell'abuso in stile BYOVD, un driver firmato può essere caricato perché sembra legittimo, anche se contiene un difetto che gli attaccanti possono trasformare in arma. La fiducia associata alla firma diventa parte del problema. Un driver può quindi essere usato come primitiva per terminare i processi degli strumenti di sicurezza, a volte lasciando tracce negli eventi del kernel, nelle modifiche ai servizi o nei log di protezione contro le manomissioni dell'endpoint.

HexKiller e HavocKiller dovrebbero essere trattati con cautela finché non saranno mappati in modo indipendente su binari o tecniche specifiche. Ma anche la denominazione racconta una storia: i gruppi ransomware stanno sempre più impacchettando il sabotaggio della difesa come modulo riutilizzabile, non come trucco improvvisato. Dal punto di vista difensivo, questo è il vero cambiamento. L'attacco non riguarda più solo l'intrusione e la cifratura dei dati. Riguarda l'accorciamento della finestra di reazione del difensore.

Le informazioni disponibili supportano un'analisi del rischio, non una dichiarazione definitiva che ogni distribuzione seguirà lo stesso percorso. Il percorso tecnico esatto può variare in base all'operatore, all'ambiente di destinazione e ai privilegi disponibili. Tuttavia, la lezione resta coerente tra le campagne: se uno strumento di sicurezza scompare all'improvviso, quell'evento dovrebbe essere trattato come un segnale di attacco, non come un inconveniente operativo.

Lezioni difensive

I team dovrebbero monitorare caricamenti di driver imprevisti, creazione sospetta di servizi, modifiche alle policy di Defender e interruzioni improvvise dei processi sugli endpoint che normalmente eseguono software di protezione. Dove i controlli della piattaforma lo consentono, bloccare i driver vulnerabili noti, restringere i confini dei privilegi e mantenere attiva la protezione contro le manomissioni può ridurre l'esposizione. Anche la segmentazione conta, perché persino un breve punto cieco può diventare un percorso verso una cifratura più ampia se un punto d'appoggio si estende troppo.

Conclusione

La lezione più ampia è semplice: gli operatori ransomware non stanno solo monetizzando il furto di dati e la cifratura. Stanno anche industrializzando la soppressione della visibilità. In questo contesto, il primo avviso di cui fidarsi potrebbe essere quello che segnala che la tua stack di protezione è diventata silenziosa.

TECHCROOK

Unità di backup esterna: Un'unità di backup separata resta una base pratica per la difesa dal ransomware. Conserva almeno una copia offline o scollegata quando non è in uso e, se possibile, utilizza backup versionati. Se gli strumenti dell'endpoint vengono manomessi, un backup pulito può essere il percorso più rapido per il ripristino.

Scheda Techcrook: Unità di backup esterna

WIKICROOK

  • EDR: Endpoint Detection and Response, un livello di sicurezza che rileva le minacce e supporta l'indagine e il contenimento sugli endpoint.
  • BYOVD: Bring Your Own Vulnerable Driver, un metodo di attacco che abusa di un driver legittimo ma difettoso per ottenere pericolose capacità a livello kernel.
  • RaaS: Ransomware-as-a-Service, un modello criminale in cui gli operatori costruiscono il malware e gli affiliati eseguono le intrusioni in cambio di una quota del profitto.
  • Protezione contro le manomissioni: Un controllo difensivo progettato per impedire modifiche non autorizzate alle impostazioni di sicurezza e alle protezioni dell'endpoint.
  • Telemetria di caricamento dei driver: Registri che mostrano quando viene caricato un driver del dispositivo, spesso usati per individuare attività kernel sospette o abusive.