C’è un’idea diffusa, e pericolosa, tra molte piccole imprese: “ho l’antivirus, sono coperto”. La ricerca pubblicata il 18 giugno dai laboratori di ESET mostra perché non basta più. La banda ransomware Gentlemen ha messo a punto uno strumento, chiamato GentleKiller, il cui unico scopo è disattivare le difese di sicurezza prima di cifrare i dati: oltre 400 processi di 48 prodotti diversi tra antivirus ed EDR (i sistemi di rilevamento più avanzati). Il conteggio delle vittime rivendicate arriva a 478, in oltre 70 Paesi.
Come fa il malware a spegnere l’antivirus
La tecnica si chiama BYOVD, sigla di “Bring Your Own Vulnerable Driver”: porta con te un driver vulnerabile. In parole semplici: gli aggressori caricano sul computer un driver — un componente di sistema che lavora a basso livello, vicino al cuore di Windows — che contiene una falla. Sfruttando quella falla, riescono a operare al livello kernel, lo strato più profondo del sistema, e da lì mettono a tacere l’antivirus dall’interno, prima ancora di avviare la cifratura. Quando il riscatto entra in azione, le difese sono già cieche.
In oltre 70 Paesi, secondo la ricerca ESET del 18 giugno 2026. Lo strumento GentleKiller conta almeno otto varianti che prendono di mira oltre 400 processi di 48 prodotti di sicurezza tra antivirus ed EDR.
Fonte: ESET WeLiveSecurity, Help Net Security — giugno 2026
L’aspetto che dovrebbe far riflettere è l’organizzazione: ESET descrive Gentlemen come una vera e propria software house. Vende il servizio ad affiliati, distribuisce aggiornamenti come farebbe un fornitore software e riesce ad armare nuove vulnerabilità dei driver entro pochi giorni dalla loro pubblicazione. Non è un singolo attacco, è una catena di montaggio.
Le tre contromisure, gratuite, da attivare subito
La buona notizia è che le difese contro questa tecnica non richiedono budget, ma una verifica. Sono tre, e in gran parte già presenti in Windows.
1) Attivare la blocklist dei driver vulnerabili di Microsoft (in Sicurezza di Windows, sotto Isolamento core), che impedisce il caricamento dei driver usati negli attacchi BYOVD. 2) Attivare la tamper protection sull'antivirus o EDR, così non può essere spento da remoto. 3) Tenere backup offline o immutabili, testati, fuori dalla portata delle credenziali di rete.
La prima: attivare e verificare la blocklist dei driver vulnerabili di Microsoft (la “Microsoft Vulnerable Driver Blocklist”), attiva di default su Windows 11 ma da controllare e, se serve, forzare dalle impostazioni di Sicurezza di Windows, alla voce Isolamento core. Blocca proprio il caricamento dei driver-grimaldello usati in questi attacchi. La seconda: accendere la tamper protection (protezione anti-manomissione) sull’antivirus o sull’EDR, così che il software di difesa non possa essere disattivato senza autorizzazione. La terza, la rete di sicurezza che vale più di tutte: backup offline o immutabili, testati periodicamente e tenuti fuori dalla portata delle normali credenziali di rete, perché se la cifratura va a segno è l’unico modo per ripartire senza pagare.
In breve
Il ransomware moderno non sfonda la porta: prima spegne l’allarme. La banda Gentlemen ha industrializzato questo passaggio con GentleKiller, colpendo 478 vittime sfruttando driver vulnerabili a livello kernel. Per una PMI il messaggio non è “compra un antivirus migliore”, ma “proteggi quello che già hai”: blocklist dei driver vulnerabili, anti-manomissione attiva e backup offline testati. Tre verifiche da chiedere al proprio referente IT questa settimana, a costo zero.