Come arriva davvero l'attacco
Il 3 luglio 2026 i ricercatori Nevan Beal e Sam Decker di Blackpoint Cyber, insieme a Palo Alto Networks Unit 42, hanno reso noto un framework modulare fino ad allora sconosciuto che hanno chiamato Avalon. Non arriva come un allegato evidente. La catena parte da una mail che finge un documento legale e indirizza il destinatario a un archivio protetto da password su Proton Drive, e il codice dannoso viaggia dentro un'immagine ISO invece che in un file che il gateway di posta analizzerebbe.
Aprendo l'immagine la si monta come un'unità, e un collegamento di Windows travestito da documento avvia MSBuild, uno strumento legittimo di Microsoft, per caricare codice incorporato che prima manomette la registrazione degli eventi di Windows e poi scarica Avalon. Quasi tutto gira in memoria e lascia poche tracce su disco. Il campione è stato caricato su VirusTotal l'11 marzo 2026 e non ha avuto un solo rilevamento per circa quattro mesi.
Prima punta al livello di ripristino
Ciò che distingue Avalon dal ransomware comune è l'ordine delle operazioni. Prima di ogni cifratura, il framework raccoglie credenziali da browser, gestori di password e profili VPN, SSH e Wi-Fi, poi si muove lateralmente proprio verso ciò che permetterebbe di riprendersi: domain controller, host di virtualizzazione come vCenter e Hyper-V e piattaforme di backup come Veeam, Acronis, NetApp e Synology. Lungo il percorso cancella le copie shadow di Windows.
Solo quando il livello di ripristino è neutralizzato, il modulo CrownX cifra i file con crittografia autenticata AES-GCM. Il framework porta anche routine proprie per nascondersi da nove prodotti citati per nome: Microsoft Defender, SentinelOne, CrowdStrike, Sophos, Elastic Endpoint, FortiEDR, ESET, McAfee e Bitdefender. La tesi scomoda non è che esista un altro ransomware; è che questo è progettato per rendere falsa la risposta abituale, tanto ripristiniamo, ancora prima che la cifratura cominci.
Cosa cambia per un operatore
La lezione pratica non dipende dalla marca di endpoint che usi. Quando un kit è costruito apposta per accecarne nove e cancellare prima i backup, il rilevamento diventa uno strato e non la garanzia, e il controllo che regge ancora è una copia che l'attaccante non può raggiungere. Significa almeno una copia immutabile o scollegata che nemmeno un amministratore di dominio compromesso possa cancellare, e un ripristino che hai davvero provato in questo trimestre e non solo dato per scontato.
Due dettagli alzano la posta per gli operatori europei. Tre dei nove strumenti elusi, Sophos, ESET e Bitdefender, sono riferimenti europei, quindi buona parte della regione usa proprio i prodotti contro cui questo kit è stato calibrato. E i ricercatori vedono segni di sviluppo assistito da IA, che riduce tempo e competenza necessari a un gruppo per creare qualcosa di così stratificato, quindi ne arriverà altro. Con NIS2 la responsabilità di gestirlo ricade sui vertici designati, non solo sul team di sicurezza.
Da leggere ora: Una sola violazione di un fornitore ha causato metà delle vittime di ransomware in Europa | Il rischio jailbreak ora ha un punteggio di gravità



