Il panorama ransomware del 2026 continua a evolversi verso modelli operativi sempre più professionali e sofisticati. Tra le minacce che stanno attirando maggiore attenzione figurano INC Ransomware e Gentlemen Ransomware, due gruppi che rappresentano approcci differenti ma complementari all’estorsione digitale moderna. Il primo ha consolidato la propria posizione come operazione Ransomware-as-a-Service (RaaS) di primo livello, accumulando centinaia di vittime e attirando affiliati provenienti da gruppi criminali in declino. Il secondo si è distinto per lo sviluppo di strumenti specializzati nella neutralizzazione delle difese endpoint, creando framework dedicati alla disattivazione di piattaforme EDR e antivirus. Entrambi adottano modelli di double extortion, combinando il furto di dati con la cifratura dei sistemi per aumentare la pressione sulle vittime e massimizzare le probabilità di pagamento del riscatto.
Cosa leggere
INC Ransomware diventa uno dei principali operatori RaaS del 2026
Comparso nella seconda metà del 2023, INC Ransomware si è rapidamente trasformato da minaccia emergente a uno dei gruppi più attivi nel panorama cybercriminale internazionale. L’operazione è nata come piattaforma RaaS semi-privata, selezionando accuratamente gli affiliati autorizzati a utilizzare l’infrastruttura criminale. Nel corso del tempo il gruppo ha ampliato la propria attività fino a dichiarare oltre 830 vittime a partire dall’agosto 2023.
Solo nel primo trimestre del 2026 sono stati registrati oltre 120 incidenti attribuiti alla gang, un dato che evidenzia la crescita della sua capacità operativa. Parte di questo successo deriva dal progressivo ridimensionamento di organizzazioni storiche come LockBit e BlackCat, che ha spinto numerosi affiliati a cercare nuove piattaforme criminali in grado di garantire supporto tecnico e infrastrutture affidabili.
La fuga del codice sorgente e la nascita di nuove varianti
Uno degli eventi più significativi nella storia recente di INC è stata la vendita sul dark web del codice sorgente dei payload destinati a Windows, Linux ed ESXi. L’operazione, avvenuta nel maggio 2024 per una cifra stimata di circa 300.000 dollari, ha favorito la nascita di varianti e progetti derivati come Lynx e Sinobi.
Questo fenomeno riflette una tendenza sempre più diffusa nell’ecosistema ransomware: il riutilizzo di codice esistente per accelerare lo sviluppo di nuove famiglie malware. Grazie alla disponibilità del codice sorgente, altri gruppi criminali possono personalizzare i payload, adattarli a specifici obiettivi o integrare nuove funzionalità senza dover partire da zero.
Stati Uniti principale bersaglio degli operatori INC
Le analisi delle campagne attribuite a INC mostrano una forte concentrazione geografica negli Stati Uniti, che rappresentano oltre il 65% delle vittime note. Tra i settori maggiormente colpiti figurano studi legali, aziende manifatturiere, imprese di costruzione, organizzazioni tecnologiche e strutture sanitarie. Si tratta di comparti nei quali un’interruzione operativa può tradursi rapidamente in perdite economiche significative. Gli operatori sfruttano questa pressione per aumentare le probabilità di pagamento. Come avviene nelle moderne operazioni ransomware, la cifratura dei sistemi è preceduta dall’esfiltrazione dei dati, che vengono successivamente utilizzati come leva ricattatoria nel caso in cui la vittima rifiuti di negoziare.
Accesso iniziale e compromissione delle infrastrutture
Gli affiliati di INC utilizzano diverse tecniche per ottenere accesso iniziale alle reti aziendali. Una delle modalità più frequenti consiste nell’acquisto di credenziali rubate da Initial Access Broker, figure specializzate nella vendita di accessi compromessi. A questa tecnica si affiancano campagne di spear-phishing e lo sfruttamento di vulnerabilità presenti in dispositivi esposti su Internet.
Tra i bersagli ricorrenti figurano piattaforme come Citrix Netscaler, Fortinet EMS e SimpleHelp, spesso utilizzate per accesso remoto e gestione infrastrutturale. Una volta ottenuto un punto di ingresso, gli attaccanti procedono con la raccolta di credenziali e l’espansione del controllo all’interno della rete.
Living-off-the-land e furto di credenziali
Per ridurre la probabilità di rilevamento, gli operatori di INC fanno ampio uso di tecniche living-off-the-land, sfruttando strumenti già presenti nei sistemi compromessi. L’attività di raccolta delle credenziali coinvolge anche server Veeam, dai quali vengono estratte informazioni sensibili attraverso script specificamente aggiornati per le versioni più recenti del software. Questa strategia permette di sfruttare infrastrutture legittime per mascherare le attività malevole e ridurre il numero di indicatori di compromissione visibili agli strumenti di sicurezza.
Esfiltrazione dei dati e utilizzo di Rclone
La fase di furto dei dati rappresenta un elemento fondamentale del modello di business di INC. Gli operatori utilizzano frequentemente 7-Zip per comprimere e proteggere con password le informazioni raccolte prima dell’esfiltrazione. Il trasferimento verso infrastrutture controllate dagli attaccanti avviene tramite Rclone, uno strumento open source ampiamente utilizzato anche in contesti legittimi per la sincronizzazione di dati verso servizi cloud. L’uso di software conosciuti e diffusi rende più difficile distinguere le attività malevole da quelle normali operazioni amministrative.
Payload in Rust per Windows e Linux
Una delle caratteristiche tecniche più interessanti di INC riguarda l’utilizzo del linguaggio Rust per lo sviluppo dei payload ransomware. Le versioni destinate a Windows e Linux/ESXi sono state completamente riscritte per sfruttare i vantaggi offerti dal linguaggio in termini di prestazioni e portabilità. Il payload Windows utilizza multithreading e tecniche di crittografia parziale per accelerare il processo di cifratura e ridurre il tempo necessario a compromettere un sistema. La variante destinata agli ambienti VMware ESXi è invece progettata per spegnere preventivamente le macchine virtuali, massimizzando l’impatto dell’attacco. In entrambi i casi i file cifrati ricevono l’estensione .INC, che identifica chiaramente l’operazione criminale.
Tecniche BYOVD per aggirare le difese
Per neutralizzare le soluzioni di sicurezza, INC fa largo uso della tecnica Bring Your Own Vulnerable Driver (BYOVD). Gli operatori installano driver vulnerabili come filwfp.sys, filnk.sys e fildds.sys, sfruttandoli per ottenere privilegi elevati a livello kernel. Questo approccio consente di disabilitare o aggirare i meccanismi di protezione implementati da molte soluzioni EDR e antivirus. Per il controllo remoto vengono inoltre utilizzati strumenti commerciali come AnyDesk, ScreenConnect, TeamViewer e Cobalt Strike, che offrono funzionalità avanzate di gestione dei sistemi compromessi.
Gentlemen Ransomware punta sull’eliminazione degli EDR
Se INC si distingue per volume di attacchi e capacità operativa, Gentlemen Ransomware ha costruito la propria reputazione attorno allo sviluppo di strumenti dedicati all’evasione delle difese endpoint. Il gruppo ha creato un framework chiamato GentleKiller, progettato specificamente per individuare e terminare i processi appartenenti alle principali piattaforme di sicurezza aziendali. L’infrastruttura comprende almeno otto varianti differenti, ciascuna adattata a specifici scenari operativi e continuamente aggiornata per mantenere l’efficacia contro le nuove versioni dei software di protezione.
GentleKiller impersona software legittimi
Una delle strategie più interessanti adottate da Gentlemen consiste nel mascherare i propri strumenti come software legittimi. Le varianti di GentleKiller utilizzano nomi, icone e metadati associati a prodotti conosciuti come Kaspersky, Valorant, Javelin o WatchDog. In alcuni casi vengono impiegate firme digitali rubate o contraffatte per aumentare ulteriormente la credibilità dei file eseguibili. I binari sono protetti tramite packer commerciali come Enigma Protector e Themida, rendendo più complessa l’analisi da parte dei ricercatori e delle sandbox automatiche.
Oltre 400 processi di sicurezza possono essere terminati
Le capacità del framework sono particolarmente estese. Secondo le analisi disponibili, GentleKiller è in grado di identificare e terminare oltre 400 processi appartenenti a circa 48 vendor di sicurezza differenti.
| Vendor | Processi Target |
|---|---|
| Acronis | acronis_agent.exe, BackupAndRecoveryAgent.exe, managementagenthost.exe, mms.exe |
| Avast / AVG | afwServ.exe, aswEngSrv.exe, aswidsagent.exe, AvastSvc.exe, AVGSvc.exe, avgnt.exe, wsc_proxy.exe |
| Bitdefender | bdagent.exe, bdservicehost.exe, BDAvScanner.exe, BDScheduler.exe, bdredline.exe |
| CrowdStrike | CSFalconService.exe, CSFalconUI.exe, csfalcondataprotect.exe, REPRSVC.EXE |
| ESET | ekrn.exe, egui.exe, eamsi.exe, ecls.exe, ERAAgent.exe, EraAgentSvc.exe |
| Kaspersky | avp.exe, avpui.exe, kavfs.exe, klnagent.exe, ksde.exe, klserver.exe |
| McAfee / Trellix | mcshield.exe, McAfeeAgent.exe, mfetp.exe, mfefire.exe, mfemactl.exe, MgntSvc.exe |
| Microsoft Defender | MsMpEng.exe, MsMpSvc.exe, MsSense.exe, NisSrv.exe, SecurityHealthService.exe, windefend.exe |
| SentinelOne | SentinelAgent.exe, SentinelAgentWorker.exe, SentinelServiceHost.exe, SentinelUI.exe |
| Sophos | hmpalert.exe, SavApi.exe, SAVService.exe, SEDService.exe, SophosUI.exe, sophosav.exe |
| Symantec / Norton | ccSvcHst.exe, rtvscan.exe, SepMasterService.exe, smc.exe, SymCorpUI.exe |
| Trend Micro | ntrtscan.exe, OfcService.exe, TISafeSvc.exe, TmPfw.exe, tmproxy.exe, TmListen.exe |
Tra i prodotti presi di mira figurano Microsoft Defender, CrowdStrike Falcon, SentinelOne, Sophos, Trend Micro, Bitdefender, ESET, Palo Alto Networks e Kaspersky. Eliminando preventivamente questi componenti, gli operatori riducono drasticamente la capacità delle organizzazioni di rilevare e bloccare le attività malevole.
Il ruolo centrale della tecnica BYOVD
Anche Gentlemen basa gran parte della propria efficacia sulla tecnica BYOVD. Il gruppo sfrutta driver vulnerabili come eb.sys, nseckrnl.sys, GameDriverX64.sys e stpm.sys per ottenere privilegi kernel e manipolare direttamente i processi protetti. Una volta acquisito il controllo a basso livello del sistema operativo, le soluzioni EDR diventano vulnerabili alla terminazione forzata. Gli operatori integrano inoltre strumenti come HexKiller, ThrottleBlood e HavocKiller, incorporandoli nel proprio arsenale per ampliare le capacità offensive.
Aggiornamenti continui per sfruttare nuovi driver vulnerabili
Uno degli aspetti più pericolosi di Gentlemen è la rapidità con cui il gruppo aggiorna i propri strumenti. Ogni volta che vengono divulgate nuove vulnerabilità relative a driver di sistema, le informazioni vengono rapidamente integrate nelle nuove versioni di GentleKiller. Questa capacità di adattamento consente agli attaccanti di mantenere un vantaggio operativo rispetto alle organizzazioni che non applicano tempestivamente gli aggiornamenti di sicurezza o che non implementano meccanismi di blocco dei driver vulnerabili.
Double extortion e crescita della sofisticazione ransomware
INC e Gentlemen rappresentano due facce della stessa evoluzione criminale. Entrambi adottano il modello double extortion, combinando cifratura ed esfiltrazione dei dati per aumentare la pressione sulle vittime. Tuttavia, mentre INC si concentra sull’espansione del proprio ecosistema RaaS e sul numero di operazioni condotte, Gentlemen investe in tecniche offensive avanzate destinate a neutralizzare le difese. La crescente diffusione di strumenti EDR killer, l’utilizzo di linguaggi moderni come Rust e l’abuso sistematico di tecniche BYOVD mostrano come il ransomware contemporaneo stia assumendo caratteristiche sempre più vicine a quelle delle operazioni APT.
Le difese necessarie contro la nuova generazione di ransomware
Di fronte a queste minacce, le organizzazioni devono adottare una strategia multilivello che combini patch management, autenticazione multifattore, segmentazione di rete e backup offline. È fondamentale monitorare l’installazione di driver non autorizzati, controllare l’utilizzo di strumenti di accesso remoto e implementare meccanismi di rilevamento capaci di identificare attività anomale a livello kernel. L’evoluzione di gruppi come INC e Gentlemen dimostra che il ransomware non è più soltanto una minaccia opportunistica, ma un ecosistema criminale altamente specializzato che continua a perfezionare le proprie capacità offensive per aggirare anche le difese più avanzate.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
