Sei sotto attacco Cyber? Interveniamo subito

BYOVD ovvero come un hacker “spegne” il mio EDR

BYOVD ovvero come un hacker “spegne” il mio EDR

Immaginate di avere un ufficio ben protetto, all’ingresso c’è una guardia, fidata, assunta da una società di vigilanza seria. La guardia controlla documenti, analizza chi entra e chi esce, fa rapporti, segnala comportamenti. Una notte, in reception, si presenta un’altra guardia: tesserino autentico, stesso logo, stessa agenzia. La vostra guardia, per formazione professionale, non può impedirle di entrare: il tesserino è reale, i permessi sono quelli giusti. Solo che questa seconda guardia, pochi minuti dopo essere entrata, va nella stanza di controllo e spegne le telecamere e poi apre la porta ai ladri! Questa è, in breve, la tecnica di evasione che oggi permette ai gruppi ransomware più attivi (AKIRA in primis in Italia) di neutralizzare gli antivirus aziendali più sofisticati (quelli che il mercato chiama EDR) e colpire aziende che credevano di essere protette. Ha un nome in gergo, BYOVD, che sta per Bring Your Own Vulnerable Driver ovvero “portati il tuo driver vulnerabile”. Il concetto, però, è molto più semplice di quanto il nome suggerisca. Provo a spiegarlo in modo semplice. Il trucco: abusare di componenti legittimi Windows, come sappiamo fa un ampio uso di driver. I driver sono quelli che fanno funzionare la stampante, la scheda grafica, la webcam, i programmi di diagnostica hardware, etc. Per garantire la sicurezza, Microsoft impone che questi driver siano firmati digitalmente e solo da produttori riconosciuti, è un po’ come il tesserino della guardia: senza quello non entri. Il problema è che, nel corso degli anni, centinaia di driver sono stati firmati e una firma una volta emessa non si può ritirare facilmente. Col tempo, alcuni di questi driver si sono rivelati difettosi: hanno errori di programmazione che permettono di sfruttarli per ottenere il controllo completo del computer.

I produttori hanno rilasciato versioni corrette, ma le vecchie versioni difettose continuano a esistere, scaricabili da Internet, perfettamente valide agli occhi di Windows. Questi driver difettosi sono le guardie col tesserino autentico ma corrotte della nostra analogia. Tesserino vero, divisa vera, solo che quella guardia è una talpa. Un attaccante che riesce a entrare nell’azienda, per esempio tramite una VPN esposta con credenziali rubate o direttamente su un firewall vulnerabile, il vettore che abbiamo visto ripetutamente nelle intrusioni AKIRA in Italia, si porta con sé uno di questi driver difettosi e lo carica sul computer della vittima. Windows lo accetta, perché la firma è valida e da lì, sfruttando il difetto noto di quel driver, l’attaccante ottiene il controllo totale del computer.

Quel controllo è abbastanza per spegnere l’EDR. Perché l’EDR non si può difendere Qui arriva la parte controintuitiva, quella che sorprende anche chi lavora nel settore da anni. Un EDR è un software di sicurezza molto sofisticato, che osserva continuamente ogni attività del computer: quali programmi partono, quali file vengono aperti, quali connessioni di rete vengono stabilite. Ma è un software, e gira dentro il computer. Quando un attaccante ottiene il controllo totale di quel computer, ed è esattamente ciò che accade col BYOVD, si mette in una posizione gerarchicamente superiore all’EDR. Può comandargli di spegnersi, e l’EDR si spegne. Non è stato ingannato: è stato semplicemente messo a tacere da qualcuno che, in quel momento, ha più potere di lui. Nei casi reali che vediamo, la sequenza è sempre la stessa e dura poco. L’attaccante entra, carica il driver, prende il controllo e poi spegne l’EDR.

Da quel momento, tutto ciò che accade è invisibile. Può rubare centinaia di gigabyte di dati con calma. Può prepararsi, può cifrare tutto quello che vuole. L’EDR, che fino a pochi minuti prima stava funzionando perfettamente, non manderà più un singolo alert, non perché sia stato battuto, ma perché è stato spento. Questo è il motivo per cui dire “ho un EDR, sono protetto” oggi non è più un’affermazione sufficiente. Non è una critica agli EDR, che restano uno strato di difesa essenziale. È una constatazione di architettura: nessun software di sicurezza che vive sul computer può proteggersi al 100% da un attaccante che ha preso il controllo di quel computer. È un limite strutturale, non un difetto di questo o quel prodotto. Tutti gli EDR principali sul mercato, americani, europei, i più costosi come i più accessibili, sono vulnerabili a questa tecnica e lo sono per design, e lo saranno ancora a lungo. La conseguenza pratica per chi gestisce la cybersecurity in un’azienda Il punto di questo articolo non è tecnico. È organizzativo, strutturale. Se la vostra strategia di sicurezza si basa su un unico livello di difesa, per quanto buono, avete un problema di architettura, non di prodotto. E la risposta non è “cambiamo l’EDR”.

La risposta è “attiviamo un secondo punto di osservazione”. Pensate di nuovo all’ufficio con la guardia. Se la guardia è l’unica linea di difesa, chi la mette fuori gioco ha vinto. Se invece, oltre alla guardia, c’è una centrale di vigilanza esterna che riceve in tempo reale i dati dalle telecamere e dai sensori, indipendente dalla guardia, in un altro edificio, quando la guardia viene “spenta” qualcuno dall’esterno nota che le telecamere si sono spente, che alcune porte si sono aperte, che c’è un’anomalia, che sta succedendo qualcosa di strano. La centrale non può impedire l’intrusione da sola, ma può rilevarla subito e chiamare rinforzi mentre c’è ancora tempo. In cybersecurity quella centrale esterna si chiama SOC. Un SOC monitora la rete, i firewall, le identità non solo i singoli computer. Vede il traffico. Si accorge che “sul computer di Mario, apparentemente tranquillo, ci sono 200 gigabyte di file che stanno uscendo verso un indirizzo sconosciuto a mezzanotte e mezza”.

L’EDR di Mario non lo dirà più, perché è stato reso inutile, ma il traffico di rete attraversa dei punti che sono esterni al computer di Mario, e se qualcuno sta guardando quei punti, il segnale resta visibile. Oppure se Mario prova a diventare amministratore per avere accesso ad altri sistemi, lo vede. E vede tante altre cose. Questa è la differenza fra un solo livello di difesa e difesa multi-livello. Non è una sofisticazione da multinazionali: è diventata la baseline per chiunque abbia dati che valgono un riscatto. E in Italia, i 13 attacchi AKIRA confermati dal CSIRT Italia nei primi mesi del 2026 lo dimostrano.

Tre domande da fare al vostro team IT questa settimana, non servono competenze tecniche per farle, e le risposte vi dicono molto sulla vostra reale esposizione. P
rima domanda. Se il nostro EDR smettesse di funzionare silenziosamente, non crashando, ma semplicemente spegnendosi, quanto tempo passerebbe prima che qualcuno se ne possa accorgere?
Seconda domanda. Chi controlla identità ed il traffico di rete della nostra azienda?
Terza domanda. Se domani mattina tutti i nostri file fossero cifrati, quanto ci metteremmo a ripartire? “Noi abbiamo i backup”, quasi tutti dicono di averli. La domanda vera è: li abbiamo testati con un recupero reale nelle ultime 12 settimane? E sono in una forma che un attaccante con privilegi massimi non può cancellare anche da lì? Se almeno una di queste tre risposte vi fa esitare non maltrattate il vostro EDR ma affiancatelo con almeno una seconda linea di monitoraggio!

Hai bisogno di una consulenza? Contattaci!

    Logo Digimetrica

    Il partner per la sicurezza informatica della tua azienda

    Link rapidi

    Servizi

    Iscriviti alla nostra Newsletter

      Seguici sui social:

      Linkedin-in Facebook-f Youtube X-twitter