Il gruppo ransomware Black Basta consolida nel 2026 una delle tecniche più pericolose degli ultimi anni: BYOVD (Bring Your Own Vulnerable Driver). La strategia consente agli attaccanti di caricare driver legittimi ma vulnerabili, ottenere accesso kernel (ring 0) e neutralizzare le difese EDR prima di distribuire il payload di cifratura. Attivo almeno dal 2022 e legato all’ecosistema di Conti, Black Basta ha colpito centinaia di organizzazioni con doppia estorsione, causando danni stimati in miliardi di euro e richieste di riscatto che arrivano a milioni per singolo incidente. BYOVD rappresenta un moltiplicatore di efficacia: non è necessario sfruttare un exploit zero-day del sistema operativo se è possibile portare un driver già firmato, abusarne e spegnere i controlli di sicurezza dall’interno del kernel.
BYOVD in pratica: driver legittimi come arma
La tecnica BYOVD di Black Basta si basa sul caricamento di driver noti per vulnerabilità—come aswArPot.sys (ecosistema Avast) o zemana.sys—utilizzati per terminare processi di sicurezza, manipolare strutture kernel e bypassare EDR. In diversi casi, i driver risultano firmati (talvolta con certificati rubati o abusati), riducendo le probabilità di blocco da parte dei controlli WHQL e delle policy predefinite. Una volta in ring 0, gli attaccanti possono eseguire codice arbitrario, disabilitare antivirus, spegnere logging, rimuovere shadow copy e aprire la strada all’esfiltrazione dati prima della cifratura. Le analisi mostrano che Black Basta testa i driver in VM e li adatta al contesto target, riducendo i tempi di dwell a ore.
Catena d’attacco: dall’accesso iniziale al dominio
Gli attacchi iniziano tipicamente con phishing mirato o RDP esposto, seguiti dal dispiegamento di Qakbot per l’accesso iniziale. La fase di movimento laterale sfrutta PsExec, Cobalt Strike e tecniche di Living-off-the-Land, mentre la raccolta credenziali passa da Kerberoasting e dump LSASS. La rete viene mappata con strumenti come BloodHound, e la propagazione accelera tramite GPO modificate e admin shares. È in questo momento che BYOVD diventa decisivo: EDR e AV vengono disabilitati a livello kernel, rendendo inefficaci i controlli user-mode e aprendo la finestra per esfiltrazione massiva (spesso via Rclone verso storage esterni) e distribuzione del ransomware.
Cifratura e doppia estorsione
Il ransomware Black Basta utilizza ChaCha20 per la cifratura dei file con RSA per la protezione delle chiavi, aggiungendo l’estensione .basta. La nota di riscatto indirizza a portali Tor per la negoziazione, con Bitcoin e Monero come metodi di pagamento. Prima della cifratura, il gruppo estrae terabyte di dati e minaccia la pubblicazione su leak site in caso di mancato pagamento, talvolta rilasciando campioni per aumentare la pressione. Le varianti 2026 mostrano ottimizzazioni anti-analisi, threading aggressivo per velocizzare la cifratura e kill switch regionali. Sono state osservate anche varianti Linux per ambienti server e VM.
🔴 OSSERVATORIO INTELLIGENCE: LIVE
Evoluzione 2026: driver firmati, mobile e AI
Le analisi più recenti indicano un’evoluzione rapida. Black Basta sperimenta driver firmati EV, integrazioni con exploit per driver grafici e tecniche per evadere Secure Boot in configurazioni deboli. In parallelo, emergono integrazioni mobile (Android e iOS) per ampliare la superficie di attacco e componenti AI per phishing mirato e evasione dei sistemi di rilevamento basati su ML. Ricercatori collegano parte dell’ecosistema a broker di accesso iniziale, aumentando la velocità di compromissione e la scala operativa. La competizione con gruppi come LockBit e Akira spinge Black Basta a innovare continuamente per ridurre il time-to-impact.
Indicatori di compromissione e tracciamento
Gli IOC includono caricamenti anomali di driver (visibili in Sysmon), processi di sicurezza terminati improvvisamente, traffico C2 verso infrastrutture riconducibili a Russia, file .basta su share di rete, log cancellati via wevtutil, e domini Tor per la negoziazione. Sono stati osservati certificati rubati, comandi PowerShell offuscati e chiavi di registro per la persistenza. Parte dei wallet associati ai riscatti è stata tracciata, mentre tool di decrittazione gratuiti rilasciati da vendor come Emsisoft hanno consentito recuperi parziali in casi specifici.
Mitigazioni: perché BYOVD cambia le priorità difensive
Contrastare BYOVD richiede un cambio di postura. Le raccomandazioni operative includono allowlisting dei driver, monitoraggio dei caricamenti kernel, EDR con telemetria profonda, Secure Boot correttamente configurato, patching tempestivo dei driver, segmentazione di rete e backup offline. È fondamentale disabilitare macro Office, limitare LOLbins, applicare least privilege e rafforzare MFA hardware. Secondo Symantech, la difesa deve trattare endpoint, mobile ed email con la stessa priorità, integrando threat hunting proattivo e forensics per intercettare segnali deboli prima che BYOVD renda cieche le difese.
Perché conta ora
BYOVD dimostra che la fiducia implicita nei driver firmati è diventata un punto di attacco sistemico. Black Basta sfrutta questa realtà per spegnere la sicurezza dall’interno, accelerare la propagazione e massimizzare l’estorsione. Nel 2026, ignorare il livello kernel significa accettare un rischio strutturale. La risposta non è un singolo controllo, ma una strategia difensiva coerente che consideri driver, EDR e identità come un unico perimetro critico.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
