Ransomware EsfiltrazioneTraffic AnalysisInfrastrutture CriticheCVE-2026-20182

Ransomware solo-esfiltrazione: perché il rilevamento ML del traffico è oggi l'ultima linea di difesa

Gli operator ransomware del Q1 2026 saltano la cifratura e vanno dritti al furto dati. La nuova kill chain è silenziosa, a meno che tu non sappia vedere l'esfiltrazione mentre sta avvenendo — wire-speed, sulla tua rete.

Zero Hunt Research·17 maggio 202618:45·5 min di lettura

La forma del ransomware è appena cambiata, e la maggior parte degli stack difensivi non se n'è ancora accorta.

Per tutto il 2024 e per buona parte del 2025 la kill chain del ransomware aveva tre tempi prevedibili: entrare, muoversi lateralmente, cifrare tutto e chiedere il riscatto. Il tempo della cifratura era rumoroso — la telemetria del file system si accendeva, i sistemi di backup mandavano alert, gli utenti se ne accorgevano subito. La detection era post-impact, ma almeno c'era.

Nel trimestre trascorso le cose sono cambiate. Il bollettino settimanale Cyfirma di inizio maggio 2026 e lo State of Ransomware 2026 di Securelist raccontano lo stesso trend con angolazioni diverse: una quota rilevante degli affiliati ransomware di fascia alta sta saltando completamente la cifratura. Entrano, fanno enumerazione veloce, esfiltrano quanti più dati business-critical riescono a far passare dall'egress, e estorcono direttamente sulla minaccia di pubblicazione. Brain Cipher è il marchio più spesso citato; il modello operativo è più ampio del singolo gruppo.

Sembra un cambio tattico. È un cambio architetturale, dal lato del difensore.

Cosa significa "ransomware senza cifratura" per il detection

Quando la fase di impatto è la cifratura, hai segnali ovunque: rate di scrittura enormi sui file share, statistiche SMB o NFS che si impennano, EDR e backup che si svegliano. L'attacco è autodichiarativo. Lo rilevi a posteriori e la sola domanda è quanto bene tengono i backup contro la richiesta.

Quando la fase di impatto è l'esfiltrazione, niente di tutto questo esiste. L'attaccante non tocca i file in modo distruttivo. Li legge. Le letture su larga scala non triggherano molte delle regole tarate sull'attività in fase di cifratura. File share, database, object store S3-compatibili interni vedono letture di forma legittima. L'unico posto dove l'attività è inequivocabilmente visibile è l'egress di rete — i byte che lasciano il perimetro verso una destinazione dove non dovrebbero andare.

Ed è esattamente lì che la maggior parte dei difensori è più debole.

Tre gap operativi concreti che il nuovo pattern d'attaccante sfrutta:

Il DLP basato su volume non vede l'esfiltrazione staged. Gli attaccanti moderni mettono in stage i dati dentro al perimetro — di solito su un host che già controllano — e solo dopo li portano fuori, spesso spalmati su ore, spesso verso uno dei range CDN dei cloud storage che la tua azienda già usa. Un DLP a regole su dimensione file, destinazione o ora del giorno non li vede.
L'ispezione TLS è in ritirata. Con l'espansione di public-key pinning, HSTS preload, ESNI/ECH e QUIC, l'ispezione TLS mid-network rompe più applicazioni di quante ne ispezioni. Molte aziende l'hanno silenziosamente disattivata per la maggior parte dei segmenti outbound. Il traffico di esfiltrazione che l'anno scorso si vedeva ora è cifrato, e il SIEM non lo apre.
La cadenza del SIEM è sbagliata. Una query che gira ogni 15 minuti su finestre di 24 ore non intercetta un burst di esfiltrazione da 90 minuti che finisce prima che la finestra successiva si allinei. Quando il report del mattino gira, i dati sono fuori.

Due aggiunte recenti al KEV che peggiorano lo scenario

Due CVE entrati nel CISA KEV a maggio 2026 si incastrano perfettamente in questa kill chain:

CVE-2026-20182 — un authentication bypass critico (CVSS 10.0) su Cisco Catalyst SD-WAN Controller e Manager, aggiunto al KEV il 14 maggio 2026, con deadline FCEB il 17 maggio. Le appliance SD-WAN sono sull'egress di molte aziende. Un attaccante che possiede il controller SD-WAN decide come il traffico outbound viene instradato e ispezionato.
CVE-2026-31431 — la local privilege escalation del kernel Linux "Copy Fail", aggiunta il 1° maggio 2026. Di per sé è post-compromise; concatenata con uno qualsiasi dei recenti CVE di foothold su web server converte una webshell user-context in capacità di data-mining kernel-root.

Letti insieme: l'attaccante prende foothold, sale a root via Copy Fail, possiede il controller SD-WAN, esfiltra su un percorso dove i difensori hanno perso visibilità. La fase di cifratura ora è opzionale — e sempre più saltata, perché ogni passo rumoroso in più è un'altra occasione di detection.

Come deve essere fatto il detection

Non puoi difenderti da attacchi a forma di esfiltrazione guardando gli endpoint. L'endpoint vede letture legittime. Devi difenderti al livello traffico, con logica di detection che non dipende da firme, ispezione del payload o regole statiche. Tre proprietà di uno stack che funziona:

ML comportamentale sui metadati di flusso. Anche quando il payload è cifrato, i metadati di flusso (timing, fan-in, fan-out, distribuzione dei byte, ASN di destinazione, certificate fingerprint, hash JA3/JA4) portano abbastanza segnale per flaggare un host passato da net-importer a net-exporter o che ha iniziato a parlare con un ASN mai visto. Il modello dev'essere addestrato sul tuo baseline di traffico, non sulla media dei clienti di un vendor.
Real-time, non batch. La detection deve atterrare mentre l'attività è in corso, non come report del mattino dopo. L'inference wire-speed (ML deep-packet su GPU mentre il traffico attraversa) è l'unica architettura che ti dà una chance significativa di interrompere l'esfiltrazione mid-stream.
Posizionamento dei sensori su ogni choke point. Un solo sensore al perimetro perde l'esfiltrazione est-ovest via cloud-tenancy compromessa o via VPN di partner. Servono sensori su perimetro, DMZ, segmenti server-to-server e ogni choke point OT/ICS che tocca l'IT.

Se il tuo stack attuale di network detection è a firma o batch, la storia dell'esfiltrazione gli cammina attraverso.

Come il Pilastro 2 di Zero Hunt risponde a questo scenario

Il secondo pilastro dell'appliance Zero Hunt è il motore di AI Traffic Analysis, e gli attacchi a forma di esfiltrazione sono il caso canonico per cui è stato costruito.

Il motore è un'architettura deep-learning proprietaria con quattro inference head paralleli (traffico sospetto, classificazione malware, identificazione tipo d'attacco, fingerprinting applicativo), addestrato su miliardi di sequenze PCAP reali ed eseguito direttamente sulla GPU dell'appliance con baseline 2.7+ Gbit/s. Classifica i metadati di flusso mentre i pacchetti attraversano — non in batch, non nel report del mattino. Un host che passa da net-importer a net-exporter, un burst outbound sostenuto verso un ASN mai visto, un tunnel SD-WAN che improvvisamente porta 10× il volume usuale: tutti questi si illuminano durante il burst, mentre c'è ancora tempo per tagliare il link.

Si integra col Pilastro 1 offensivo — lo sciame a 10 agenti valida se lo stesso percorso di esfiltrazione è raggiungibile dalla tua superficie d'attacco, prima che ci provi qualcuno da fuori — e la matrice di confronto mette in chiaro la differenza rispetto agli NDR a firma. La sezione funzionalità descrive l'architettura a 4 inference head e il feed di threat intel da 21 fonti; puoi anche richiedere una demo per vedere l'appliance girare su una traccia di esfiltrazione registrata.

Tutto questo gira on-premise sulla GPU dell'appliance. Nessuno dei tuoi metadati di rete esce dal perimetro verso il cloud di un vendor — proprietà non banale in un anno in cui gli attaccanti che puntano al tuo egress leggono anche loro il blog del tuo security vendor.

La forma del ransomware è cambiata nel Q1 2026. La forma della detection deve cambiare con lei.