Argomenti trattati
Il Red Report 2026 di Picus Labs, pubblicato il 10 febbraio 2026, offre una fotografia dettagliata di un cambiamento operativo che ha ridefinito il cybercrime moderno. Analizzando 1.153.683 file unici — di cui il 94% classificato come malevolo — e mappando oltre 15,5 milioni di azioni su MITRE ATT&CK, il report mostra come l’attacco informatico abbia mutato strategia: dalla cifra rumorosa alla sopravvivenza nascosta.
Questa transizione non è teorica ma empirica: la tecnica Data Encrypted for Impact (T1486) è crollata del 38%, passando dal 21% dei campioni nel 2026 al 12,94% nel 2026, mentre tecniche di evasione, persistenza e comando e controllo (C2) dominano oggi l’elenco delle più diffuse. Il fenomeno concorre a definire quello che Picus chiama parassita digitale, un modello che cerca lunga permanenza più che distruzione immediata.
Dalla cifratura alla residenza silenziosa
Per anni il ransomware ha rappresentato un modello efficace per i gruppi criminali, ma la sua leva principale — la capacità di estorcere pagamenti — si è assottigliata. Dati indipendenti rinforzano questo quadro: Chainalysis ha stimato che nel 2026 solo il 28% delle vittime identificate ha pagato un riscatto, contro il 62,8% del 2026 e il 78,9% del 2026; i pagamenti on-chain hanno raggiunto circa 820 milioni di dollari, in calo dell’8% rispetto all’anno precedente. Di fronte a questi numeri, gli attaccanti hanno scelto di rimanere negli host, sfruttando credenziali e dati senza fare rumore.
Perché il modello del parassita è più sostenibile
La metafora biologica spiega la logica: un organismo che uccide rapidamente l’ospite riduce le proprie possibilità di propagazione; allo stesso modo, il malware che cifra tutto attiva risposte rapide di incident response e recovery. Il nuovo approccio punta alla raccolta di credenziali, alla manutenzione della persistenza e all’uso di canali affidabili per il C2, in modo da monetizzare tramite spionaggio, furto graduale di dati o rivendita degli accessi.
Caratteristiche principali del parassita digitale
Il Red Report 2026 identifica sei tratti distintivi osservati su oltre un milione di campioni. Tra questi spicca la process injection (T1055), presente nel 30% dei campioni: la tecnica consiste nell’iniettare codice malevolo dentro processi di sistema come svchost.exe o explorer.exe per confondere gli strumenti basati su firma. Parallelamente, la tecnica di Virtualization/Sandbox Evasion (T1497) appare in circa il 20% degli attacchi, con malware che si comportano come se fossero morti finché non rilevano un ambiente reale.
Esempi di sofisticazione
Il report segnala casi di evasione avanzata in cui campioni come LummaC2 calcolano movimenti del mouse usando trigonometria per distinguere input umano da attività automatizzata: movimenti troppo lineari indicano una sandbox e impediscono l’attivazione del payload. Questo spinge gli analisti a sviluppare sandbox con simulazione biometrica più convincente. Inoltre, la comparsa di C2 che sfruttano servizi cloud legittimi è emblematica: SesameOp, individuata da Microsoft DART nel luglio 2026, ha instradato comandi via API di OpenAI, mentre gruppi come Storm-0501 hanno interrogato servizi di segreti cloud come AWS Secrets Manager per raccogliere credenziali via API.
Impatto sulle difese e misure consigliate
I dati del Blue Report 2026, che documenta oltre 160 milioni di simulazioni tra gennaio e giugno 2026, mostrano il divario critico: il 54% dell’attività malevola viene registrata nei log, ma solo il 14% genera un alert. La prevenzione dell’exfiltrazione è crollata dal 9% al 3%, mentre gli attacchi con Valid Accounts (T1078) risultano riusciti nel 98% degli ambienti testati. Le cause principali sono problemi di raccolta log (50%), colli di bottiglia nelle performance (24%) e misconfigurazioni (13%).
Affrontare il parassita digitale richiede un cambio di paradigma: passare da soluzioni isolate a una validazione continua delle difese, migliorare la telemetria di identità, proteggere i gestori di password e i servizi cloud, e adottare sandbox dinamiche con interazione umana simulata. Solo così le organizzazioni possono chiudere lo spazio tra attività registrata e consapevolezza operativa, limitando la capacità degli attaccanti di prosperare nascosti.