Cos'è un malware?

Quasi tutti i moderni attacchi informatici implicano qualche tipo di malware. A seconda dell'obiettivo dei criminali informatici, questi programmi dannosi possono assumere molte forme, dai ransomware altamente dannosi e costosi ai semplici e fastidiosi adware.

I criminali informatici sviluppano e utilizzano il malware per:

• Tenere in ostaggio dispositivi, dati o intere reti aziendali per ricavare ingenti somme di denaro.
  
  
• Ottenere l'accesso non autorizzato a dati riservati o asset digitali.
  
  
• Sottrarre credenziali di accesso, numeri di carte di credito, proprietà intellettuali o altre informazioni preziose.
  
  
• Interrompere il funzionamento dei sistemi critici su cui fanno affidamento aziende e agenzie governative.

Ogni anno si verificano miliardi di attacchi malware e le relative infezioni possono colpire qualsiasi dispositivo o sistema operativo. Anche i sistemi Windows, Mac, iOS e Android.

Sempre più spesso, gli attacchi malware prendono di mira le aziende anziché i singoli utenti perché gli hacker hanno imparato che è più redditizio colpire le organizzazioni. Le aziende spesso conservano quantità significative di dati personali e gli hacker sfruttano questo fatto per estorcere loro grandi somme di denaro. Gli hacker possono utilizzare questi dati personali per il furto di identità o venderli sul dark web.

La criminalità informatica è un'industria enorme. Secondo una stima, sarebbe la terza economia mondiale dopo Stati Uniti e Cina, con un costo stimato di 10,5 trilioni di dollari entro il 2025.

In questo settore, gli hacker sviluppano costantemente nuovi ceppi di malware con caratteristiche e funzionalità sempre diversi. Questi singoli ceppi di malware generano nel tempo nuove varianti per eludere meglio i software di sicurezza. Si stima che dagli anni '80 siano stati creati più di 1 miliardo di ceppi e varianti di malware diversi, ostacolando la capacità dei professionisti della cybersecurity di stare al passo.

Gli hacker spesso condividono il proprio malware rendendo il codice open source oppure vendendolo ad altri criminali. Gli accordi malware-as-a-service sono diffusi tra gli sviluppatori di ransomware: persino i criminali con poca esperienza tecnica possono raccogliere i profitti della criminalità informatica.

Nonostante il panorama sia in continua evoluzione, i ceppi di malware possono essere classificati in base ad alcuni tipi comuni.

I termini "malware" e "virus informatico" sono spesso utilizzati come sinonimi, ma un virus è tecnicamente un particolare tipo di malware. Nello specifico, un virus è un codice nocivo che prende il controllo di un software legittimo causando danni, creando copie di se stesso e diffondendosi.

I virus non possono agire da soli. Al contrario, nascondono frammenti del proprio codice in altri programmi eseguibili. Quando un utente avvia il programma, anche il virus si attiva. I virus sono generalmente progettati per eliminare dati importanti, interrompere le normali operazioni, creare copie di se stessi e diffondersi in altri programmi sul computer infetto.

La maggior parte delle prime minacce malware erano virus. Elk Cloner, forse il primo malware a diffondersi attraverso le unità pubbliche, era un virus che prendeva di mira i computer Apple.

Il ransomware blocca i dispositivi o i dati di una vittima e richiede un riscatto, solitamente sotto forma di criptovaluta, per renderli di nuovo disponibili. Secondo l'X-Force Threat Intelligence Index di IBM, il ransomware è il secondo tipo di attacco informatico più comune e rappresenta il 17% degli attacchi.

Gli attacchi ransomware più semplici rendono gli asset inutilizzabili fino al pagamento del riscatto, ma i criminali informatici possono utilizzare altre tattiche per mettere ancora più sotto pressione le vittime.

In un attacco a doppia estorsione, i criminali informatici sottraggono i dati e minacciano di divulgarli se non vengono pagati. In un attacco a tripla estorsione, gli hacker crittografano i dati della vittima, li rubano e minacciano di mettere offline i sistemi tramite un attacco distributed denial-of-service (DDoS).

Le richieste di riscatto possono andare da decine di migliaia a milioni di dollari. Secondo un report, il pagamento medio di un riscatto è di 812.360 dollari. Anche se le vittime non pagano, il ransomware è costoso. Il report Cost of a Data Breach di IBM ha rilevato che l'attacco ransomware medio costa 4,38 milioni di dollari con il coinvolgimento delle forze dell'ordine e 5,37 milioni di dollari senza l'intervento delle forze dell'ordine; queste cifre non includono il riscatto.

Gli hacker utilizzano malware di accesso remoto per accedere a computer, server o altri dispositivi creando o sfruttando le backdoor. Secondo l'X-Force Threat Intelligence Index, installare le backdoor è l'obiettivo più comune per gli hacker e rappresenta il 21% degli attacchi.

Le backdoor consentono ai criminali informatici di incrementare l'attività. Possono sottrarre dati o credenziali, assumere il controllo di un dispositivo o installare malware ancora più pericolosi, come il ransomware. Alcuni hacker utilizzano i malware di accesso remoto per creare backdoor da vendere ad altri hacker, che possono fruttare diverse migliaia di dollari ciascuna.

Alcuni malware di accesso remoto, come Back Orifice o CrossRAT, sono realizzati intenzionalmente per scopi dannosi. Gli hacker possono anche modificare o utilizzare in modo improprio un software legittimo per accedere da remoto a un dispositivo. In particolare, i criminali informatici utilizzano le credenziali rubate per il remote desktop protocol (RDP) di Microsoft come backdoor.

Una botnet è una rete di dispositivi connessi a Internet e infettati da malware sotto il controllo di un hacker. Le botnet possono includere PC, dispositivi mobili, dispositivi Internet delle cose (IoT) e altro ancora. Spesso le vittime non si rendono conto se i propri dispositivi fanno parte di una botnet. Molte volte gli hacker utilizzano le botnet per lanciare attacchi DDoS, che bombardano una rete selezionata con così tanto traffico da rallentarla o bloccarla completamente.

Nel 2016 Mirai, una delle botnet più conosciute, è stata responsabile di un massiccio attacco contro il provider di Domain Name System Dyn. Questo attacco ha messo fuori uso siti web popolari come Twitter e Reddit per milioni di utenti negli Stati Uniti e in Europa.

Un cryptojacker è un malware che prende il controllo di un dispositivo e lo utilizza per estrarre criptovalute, come i bitcoin, all'insaputa del proprietario. In sostanza, i cryptojacker creano botnet di cryptomining.

Il mining di criptovalute è un'attività estremamente complessa e dispendiosa. I criminali informatici traggono profitto mentre gli utenti dei computer infetti devono far fronte a rallentamenti delle prestazioni e interruzioni anomale. I cryptojacker spesso prendono di mira le infrastrutture cloud aziendali, consentendo loro di eseguire il marshalling di più risorse per il cryptomining rispetto ai singoli computer.

Il malware fileless è un tipo di attacco che sfrutta le vulnerabilità di programmi software legittimi, come browser web ed elaboratori di testo, per immettere il codice nocivo direttamente nella memoria del computer. Il codice viene eseguito in memoria, quindi non lascia tracce sul disco rigido, e poiché sfrutta un software legittimo, spesso sfugge al rilevamento.

Molti attacchi di malware fileless utilizzano PowerShell, un'interfaccia a riga di comando e uno strumento di script integrati nel sistema operativo Microsoft Windows. Gli hacker possono eseguire script con PowerShell per modificare le configurazioni, sottrarre le password o causare altri danni.

Le macro dannose sono un altro vettore comune degli attacchi fileless. App come Microsoft Word ed Excel consentono agli utenti di definire macro, serie di comandi che automatizzano attività semplici, per esempio la formattazione del testo o l'esecuzione di calcoli In queste macro, gli hacker possono memorizzare script malevoli, che vengono eseguiti automaticamente quando un utente apre il file.

I worm sono programmi dannosi autoreplicanti che possono diffondersi tra app e dispositivi senza l'interazione umana (a differenza dei virus, che possono diffondersi solo se un utente avvia un programma compromesso). Alcuni worm si limitano a diffondersi, altri, invece, hanno conseguenze più gravi. Ad esempio, il ransomware WannaCry, che ha causato danni stimati per 4 miliardi di dollari, era un worm che massimizzava il proprio impatto diffondendosi automaticamente tra i dispositivi connessi.

I Trojan horse si mascherano da programmi utili o si nascondono all'interno di un software legittimo per indurre gli utenti a installarli. Un Trojan di accesso remoto o "RAT" crea una backdoor segreta sul dispositivo infetto. Un altro tipo di Trojan chiamato "dropper" installa malware aggiuntivo una volta che ha preso piede. Ryuk, uno dei ceppi di ransomware recenti più devastanti, ha usato il Trojan Emotet per infettare i dispositivi.

I rootkit sono pacchetti di malware che consentono agli hacker di ottenere un accesso privilegiato a livello di amministratore al sistema operativo o ad altre asset. Gli hacker possono quindi utilizzare queste autorizzazioni elevate per fare praticamente tutto ciò che vogliono, come aggiungere e rimuovere utenti o riconfigurare le app. Gli hacker utilizzano spesso i rootkit per nascondere processi dannosi o disabilitare il software di sicurezza che potrebbe rilevarli.

Gli scareware spaventano gli utenti inducendoli a scaricare malware o a passare informazioni sensibili a un truffatore. Gli scareware appaiono spesso come pop-up improvvisi con un messaggio urgente, solitamente per avvisare l'utente che ha infranto la legge o che il suo dispositivo è infetto da un virus. Il pop-up invita l'utente a pagare una "multa" o a scaricare un falso software di sicurezza che in realtà è un malware.

Lo spyware si nasconde in un computer infetto, raccogliendo segretamente informazioni sensibili e trasmettendole all'aggressore. Un tipo comune di spyware, chiamato keylogger, registra tutti i tasti premuti da un utente, permettendo agli hacker di raccogliere nomi utente, password, numeri di conti bancari e di carte di credito, numeri di previdenza sociale e altri dati sensibili.

L'adware inonda il dispositivo con annunci pop-up indesiderati. Spesso l'adware è incluso nel software gratuito, all'insaputa dell'utente. Quando l'utente installa il programma, installa inconsapevolmente anche l'adware. La maggior parte degli adware non sono altro che fastidiosi. Tuttavia, alcuni adware raccolgono dati personali, reindirizzano i browser web a siti web dannosi o addirittura scaricano altro malware sul dispositivo dell'utente se clicca su uno dei pop-up.

Un attacco malware ha due componenti: il payload malware e il vettore di attacco. Il payload è il codice dannoso che gli hacker vogliono installare, mentre il vettore di attacco è il metodo utilizzato per far arrivare il payload al bersaglio.

Alcuni dei vettori di malware più comuni includono:

Alcune infezioni malware, come i ransomware, si palesano in modo evidente. Tuttavia, la maggior parte di esse cerca di rimanere nascosta alla vista mentre semina il caos. In ogni caso, le infezioni malware spesso lasciano dei segnali che i team addetti alla sicurezza informatica possono utilizzare per identificarle. Questi segnali includono:

Riduzione delle prestazioni: i programmi malware utilizzano le risorse del computer infetto per funzionare, spesso occupando storage e interrompendo i processi legittimi. Il team di assistenza IT potrebbe notare un afflusso di ticket da parte di utenti i cui dispositivi si rallentano, si bloccano o sono invasi da pop-up.

Attività di rete nuova e inaspettata: il personale IT e di sicurezza può notare strani pattern, ad esempio processi che utilizzano più larghezza di banda del solito, dispositivi che comunicano con server sconosciuti o account utente che accedono ad asset che di solito non utilizzano.

Configurazioni modificate: alcuni ceppi di malware alterano le configurazioni del dispositivo o disabilitano le soluzioni di sicurezza per evitare il rilevamento. I team IT e di sicurezza possono notare che, ad esempio, le regole del firewall sono cambiate o i privilegi di un account sono stati elevati.

Avvisi sugli eventi di sicurezza: per le organizzazioni che dispongono di soluzioni di rilevamento delle minacce, il primo segno di infezione da malware è probabilmente un avviso di evento di sicurezza. Soluzioni come i sistemi di rilevamento delle intrusioni (IDS), le piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM) e i software antivirus possono segnalare potenziali attività di malware che il team di risposta agli incidenti può esaminare.

Gli attacchi malware sono inevitabili, ma ci sono misure che le organizzazioni possono adottare per rafforzare le proprie difese. Queste comprendono:

Formazione sulla sensibilizzazione alla sicurezza: molte infezioni da malware sono provocate dagli utenti che scaricano software falsi o abboccano a truffe di phishing. La formazione sulla sensibilizzazione alla sicurezza può aiutare gli utenti a individuare attacchi di ingegneria sociale, siti web nocivi e app false. Inoltre, può aiutarli a capire cosa fare e chi contattare se sospettano una minaccia malware.

Politiche di sicurezza: richiedere password complesse, autenticazione a più fattori e VPN quando si accede ad asset riservati tramite rete Wi-Fi non protette può aiutare a limitare l'accesso degli hacker agli account degli utenti. Anche creare una pianificazione regolare per la gestione patch, le valutazioni delle vulnerabilità e i test di penetrazione può aiutare a rilevare le vulnerabilità di software e dispositivi prima che i criminali informatici le sfruttino. Le politiche di gestione dei dispositivi BYOD (bring your own device) e di prevenzione dello shadow IT possono impedire agli utenti di introdurre inconsapevolmente malware nella rete aziendale.

Backup: mantenere aggiornati i backup di dati sensibili e delle immagini di sistema, idealmente su dischi rigidi o altri dispositivi che possono essere scollegati dalla rete, può semplificare il recupero da attacchi malware.

Architettura di rete Zero Trust: Zero Trust è un approccio alla sicurezza della rete in cui gli utenti non sono mai affidabili e sempre verificati. In particolare, lo zero trust implementa il principio del privilegio minimo, della microsegmentazione della rete e dell'autenticazione adattiva continua. Questa implementazione aiuta a garantire che nessun utente o dispositivo possa accedere a dati o asset sensibili che non dovrebbe. Se il malware entra nella rete, questi controlli possono limitarne il movimento laterale.

Piani di risposta agli incidenti: creare preventivamente piani di risposta agli incidenti per diversi tipi di malware può aiutare i team addetti alla cybersecurity a eliminare le infezioni da malware più rapidamente.

Oltre alle tattiche manuali descritte in precedenza, i team addetti alla cybersecurity possono utilizzare le soluzioni di sicurezza per automatizzare gli aspetti della rimozione, del rilevamento e della prevenzione del malware. Gli strumenti comuni includono:

Software antivirus: chiamati anche software "anti-malware", i programmi antivirus eseguono la scansione dei sistemi per rilevare tracce di infezione. Oltre ad avvertire gli utenti, molti programmi antivirus possono isolare e rimuovere automaticamente il malware al momento del rilevamento.

Firewall: i firewall possono bloccare il traffico dannoso che raggiunge la rete. Se il malware riesce a penetrare in un dispositivo di rete, i firewall possono aiutare a impedire le comunicazioni in uscita verso gli hacker, come un keylogger che invia i tasti all'aggressore.

Piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM): i SIEM raccolgono informazioni dagli strumenti di sicurezza interni, le aggregano in un registro centrale e segnalano le anomalie. Poiché i SIEM centralizzano gli avvisi provenienti da più fonti, possono semplificare l'individuazione di segni impercettibili di malware.

Piattaforme di orchestrazione della sicurezza, automazione e risposta (SOAR): le piattaforme SOAR integrano e coordinano diversi strumenti di sicurezza, consentendo ai team addetti alla sicurezza di creare playbook parzialmente o completamente automatizzati per rispondere al malware in tempo reale.

Piattaforme di rilevamento e risposta degli endpoint (EDR): le piattaforme EDR monitorano le unità di endpoint, come smartphone, laptop e server, per rilevare tracce di attività sospette e possono rispondere automaticamente al malware rilevato.

Piattaforme di rilevamento e risposta estese (XDR): le XDR integrano gli strumenti e le operazioni di sicurezza su tutti i livelli di sicurezza, gli utenti, gli endpoint, le e-mail, le applicazioni, le reti, i workload del cloud e i dati. Gli XDR possono aiutare ad automatizzare i complessi processi di prevenzione, rilevamento, indagine e risposta al malware, compreso il rilevamento delle minacce.

Strumenti di gestione della superficie di attacco (ASM): gli strumenti ASM rilevano, analizzano, correggono e monitorano continuamente tutte gli asset presenti nella rete di un'organizzazione.. ASM può rivelarsi utile per aiutare i team addetti alla cybersecurity a individuare dispositivi e app shadow IT non autorizzati che potrebbero contenere malware.

Unified endpoint management (UEM): il software UEM monitora, gestisce e protegge tutti i dispositivi degli utenti finali di un'organizzazione, inclusi desktop, laptop e dispositivi mobile. Molte organizzazioni utilizzano soluzioni UEM per garantire che i dispositivi BYOD dei dipendenti non introducano malware nella rete aziendale.