Per malware, abbreviazione di "software intenzionalmente dannoso", si intende qualsiasi codice software o programma informatico progettato intenzionalmente per danneggiare un sistema informatico o gli utenti. Quasi tutti gli attacchi informatici moderni coinvolgono qualche tipo di malware. A seconda dell'obiettivo dei criminali informatici, questi programmi dannosi possono assumere molte forme, dai ransomware altamente dannosi e costosi ai semplici e fastidiosi adware.
I criminali informatici sviluppano e utilizzano il malware per:
- tenere in ostaggio dispositivi, dati o intere reti aziendali per ingenti somme di denaro;
- ottenere l'accesso non autorizzato a dati riservati o asset digitali;
- sottrarre credenziali di accesso, numeri di carte di credito, proprietà intellettuali o altre informazioni preziose;
- interrompere il funzionamento dei sistemi critici su cui fanno affidamento aziende e agenzie governative.
Ogni anno si verificano miliardi di attacchi malware e le relative infezioni possono colpire qualsiasi dispositivo o sistema operativo. Anche i sistemi Windows, Mac, iOS e Android.
Sempre più spesso, gli attacchi malware prendono di mira le aziende anziché i singoli utenti perché gli hacker hanno imparato che è più redditizio colpire le organizzazioni. Alle aziende è possibile estorcere somme di denaro maggiori e spesso conservano quantità significative di dati personali che possono essere utilizzati per il furto d'identità oppure venduti sul dark web.
La criminalità informatica è un'industria enorme. Secondo una stima, sarebbe la terza economia mondiale dopo Stati Uniti e Cina, con un costo stimato di 10,5 trilioni di dollari entro il 2025.
In questo settore, gli hacker sviluppano costantemente nuovi ceppi di malware con caratteristiche e funzionalità sempre diverse. Questi singoli ceppi di malware generano nel tempo nuove varianti per eludere meglio i software di sicurezza. Si stima che dagli anni ’80 siano stati creati più di 1 miliardo di ceppi e varianti di malware diversi, ostacolando la capacità dei professionisti della sicurezza informatica di stare al passo.
Gli hacker spesso condividono il proprio malware rendendo il codice open source oppure vendendolo ad altri criminali. Gli accordi malware-as-a-service sono diffusi tra gli sviluppatori di ransomware: persino i criminali con poca esperienza tecnica possono raccogliere i profitti della criminalità informatica.
Nonostante il panorama sia in continua evoluzione, i ceppi di malware possono essere classificati in base ad alcuni tipi comuni.
I termini "malware" e "virus informatico" sono spesso utilizzati come sinonimi, ma un virus è tecnicamente un particolare tipo di malware. Nello specifico, un virus è un codice nocivo che prende il controllo di un software legittimo causando danni, creando copie di se stesso e diffondendosi.
I virus non possono agire da soli. Al contrario, nascondono frammenti del proprio codice in altri programmi eseguibili. Quando un utente avvia il programma, anche il virus si attiva. I virus sono generalmente progettati per eliminare dati importanti, interrompere le normali operazioni, creare copie di se stessi e diffondersi in altri programmi sul computer infetto.
La maggior parte delle prime minacce malware erano virus. Elk Cloner, forse il primo malware a diffondersi attraverso le unità pubbliche, era un virus che prendeva di mira i computer Apple.
Il ransomware blocca i dispositivi o i dati di una vittima e richiede un riscatto, solitamente sotto forma di criptovaluta, per renderli di nuovo disponibili. Secondo l'X-Force Threat Intelligence Index di IBM, il ransomware è il secondo tipo di attacco informatico più comune e rappresenta il 17% degli attacchi.
Gli attacchi ransomware più semplici rendono gli asset inutilizzabili fino al pagamento del riscatto, ma i criminali informatici possono utilizzare altre tattiche per mettere ancora più sotto pressione le vittime.
In un attacco a doppia estorsione, i criminali informatici sottraggono i dati e minacciano di divulgarli se non vengono pagati. In un attacco a tripla estorsione, gli hacker crittografano i dati della vittima, li rubano e minacciano di mettere offline i sistemi tramite un attacco distributed denial-of-service (DDoS).
Le richieste di riscatto possono variare da decine di migliaia a milioni di dollari. Secondo un report, il pagamento medio di un riscatto ammonta a 812.360 dollari. Anche se le vittime non pagano, il ransomware comunque comporta una perdita economica. Il report Cost of a Data Breach di IBM ha rilevato che un attacco ransomware medio costa 4,54 milioni di dollari, escluso il riscatto stesso.
Gli hacker utilizzano malware di accesso remoto per raggiungere computer, server o altri dispositivi creando o sfruttando le backdoor. Secondo l'X-Force Threat Intelligence Index, installare le backdoor è l'obiettivo più comune per gli hacker e rappresenta il 21% degli attacchi.
Le backdoor consentono ai criminali informatici di incrementare l'attività. Possono sottrarre dati o credenziali, assumere il controllo di un dispositivo o installare malware ancora più pericolosi, come il ransomware. Alcuni hacker utilizzano i malware di accesso remoto per creare backdoor da vendere ad altri hacker, che possono fruttare diverse migliaia di dollari ciascuna.
Alcuni malware di accesso remoto, come Back Orifice o CrossRAT, sono realizzati intenzionalmente per scopi dannosi. Gli hacker possono anche modificare o utilizzare in modo improprio un software legittimo per accedere da remoto a un dispositivo. In particolare, i criminali informatici hanno utilizzato le credenziali rubate per il Remote Desktop Protocol (RDP) di Microsoft come backdoor.
Una botnet è una rete di dispositivi connessi a Internet e infettati da malware sotto il controllo di un hacker. Le botnet possono includere PC, dispositivi mobili, dispositivi Internet delle cose (IoT) e altro ancora. Spesso le vittime non si rendono conto se i propri dispositivi fanno parte di una botnet. Molte volte gli hacker utilizzano le botnet per lanciare attacchi DDoS, che bombardano una rete selezionata con così tanto traffico da rallentarla o bloccarla completamente.
Nel 2016 Mirai, una delle botnet più conosciute, è stata responsabile di un massiccio attacco contro il provider Domain Name System Dyn, bloccando siti Web popolari come Twitter e Reddit per milioni di utenti negli Stati Uniti e in Europa.
Un cryptojacker è un malware che prende il controllo di un dispositivo e lo utilizza per estrarre criptovalute, come i bitcoin, all'insaputa del proprietario. In sostanza, i cryptojacker creano botnet di cryptomining.
Il mining di criptovalute è un'attività estremamente complessa e dispendiosa. I criminali informatici traggono profitto mentre gli utenti dei computer infetti devono far fronte a rallentamenti delle prestazioni e interruzioni anomale. I cryptojacker spesso prendono di mira le infrastrutture cloud aziendali, consentendo loro di eseguire il marshalling di più risorse per il cryptomining rispetto ai singoli computer.
Il malware fileless è un tipo di attacco che sfrutta le vulnerabilità di programmi software legittimi, come browser Web ed elaboratori di testo, per immettere il codice nocivo direttamente nella memoria del computer. Il codice viene eseguito in memoria, quindi non lascia tracce sul disco rigido, e poiché sfrutta un software legittimo, spesso sfugge al rilevamento.
Molti attacchi di malware fileless utilizzano PowerShell, un'interfaccia della riga di comando e uno strumento di script integrati nei sistemi operativi Microsoft Windows Gli hacker possono eseguire script con PowerShell per modificare le configurazioni, sottrarre le password o causare altri danni.
Le macro dannose sono un altro vettore comune degli attacchi fileless. App come Microsoft Word ed Excel consentono agli utenti di definire macro, serie di comandi che automatizzano attività semplici, per esempio la formattazione del testo o l'esecuzione di calcoli In queste macro, gli hacker possono memorizzare script malevoli, che vengono eseguiti automaticamente quando un utente apre il file.
I worm sono programmi dannosi autoreplicanti che possono diffondersi tra app e dispositivi senza l'interazione umana (a differenza dei virus, che possono diffondersi solo se un utente avvia un programma compromesso). Alcuni worm si limitano a diffondersi, altri, invece, hanno conseguenze più gravi. Ad esempio, il ransomware WannaCry, che ha causato danni stimati per 4 miliardi di dollari, era un worm che massimizzava il proprio impatto diffondendosi automaticamente tra i dispositivi connessi.
I Trojan horse si mascherano da programmi utili o si nascondono all'interno di software legittimi per indurre gli utenti a installarli. Un Trojan di accesso remoto, o "RAT", crea una backdoor segreta sul dispositivo infetto. Un altro tipo di Trojan, chiamato "dropper", installa un ulteriore malware una volta che ha acquisito un punto d'appoggio. Ryuk, uno dei ceppi di ransomware recenti più devastanti, ha utilizzato il Trojan Emotet per infettare i dispositivi.
I rootkit sono pacchetti di malware che consentono agli hacker di ottenere un accesso privilegiato a livello di amministratore al sistema operativo o ad altri asset di un computer. Gli hacker possono quindi utilizzare queste autorizzazioni di alto livello per fare praticamente tutto ciò che vogliono, come aggiungere e rimuovere utenti o riconfigurare app. Gli hacker utilizzano spesso i rootkit per nascondere processi dannosi o disabilitare i software di sicurezza che potrebbero rilevarli.
Lo scareware spaventa gli utenti convincendoli a scaricare malware o a condividere informazioni sensibili con un frodatore. Lo scareware appare spesso come un improvviso popup con un messaggio urgente, di solito avvertendo l'utente che ha commesso un'infrazione o che il dispositivo ha un virus. Il popup indirizza l'utente a pagare una "multa" o a scaricare un software di sicurezza falso che si rivela essere un vero malware.
Lo spyware si nasconde in un computer infetto, raccoglie segretamente informazioni sensibili e le trasmette all'autore dell'attacco. Un tipo comune di spyware, chiamato key logger, registra tutte le battiture tasto di un utente, consentendo agli hacker di raccogliere nomi utente, password, numeri di conto bancario e carte di credito, numeri di previdenza sociale e altri dati riservati.
L'adware causa una presenza eccessiva di popup indesiderati nel dispositivo. È spesso incluso in software gratuiti, senza che l'utente ne sia consapevole. Quando installa il programma, installa involontariamente anche l'adware. La maggior parte degli adware sono poco più che un elemento fastidioso, ma alcuni raccolgono dati personali, reindirizzano i browser Web verso siti Web dannosi o addirittura scaricano ulteriori malware sul dispositivo dell'utente se quest'ultimo fa clic su uno dei popup.
Un attacco malware ha due componenti: il payload malware e il vettore di attacco. Il payload è un codice nocivo che gli hacker vogliono immettere, mentre il vettore di attacco è il modo in cui il payload raggiunge l'obiettivo.
Alcuni dei vettori di malware più comuni includono:
Gli attacchi di ingegneria sociale manipolano psicologicamente le persone inducendole a fare cose che non dovrebbero, come scaricare malware. Gli attacchi di phishing, che utilizzano e-mail o messaggi di testo fraudolenti per ingannare gli utenti, sono particolarmente comuni. Secondo l'X-Force Threat Intelligence Index, il phishing rappresenta un fattore nel 41% delle infezioni da malware.
Le e-mail e i messaggi di phishing sono spesso realizzati in modo da sembrare provenienti da un marchio o da un individuo affidabile. In genere, per convincere gli utenti a compiere l'azione desiderata, fanno leva su emozioni forti come la paura ("Abbiamo trovato nove virus sul tuo telefono!"), l'avidità ("C'è un pagamento a tuo favore che ti aspetta!") o l'urgenza ("Affrettati, il tempo sta per scadere! Riscatta subito il tuo regalo, è gratis!"). Di solito, l'azione consiste nell'aprire un allegato e-mail dannoso o nel visitare un sito Web dannoso che installa il malware sul dispositivo.
I criminali informatici sono alla costante ricerca di vulnerabilità senza patch in software, dispositivi e reti che consentano loro di installare il malware nel software o nel firmware dell'obiettivo. I dispositivi IoT, molti dei quali vengono venduti e distribuiti con una sicurezza minima o nulla, rappresentano un campo particolarmente fertile per i criminali informatici che diffondono malware.
Tramite la tecnica del "baiting", gli hacker posizionano le unità USB infette, camuffate con etichette che catturano l'attenzione, in luoghi pubblici come spazi di coworking o caffetterie. Gli utenti ignari, attirati da queste unità, le collegano ai propri dispositivi per vedere cosa contengono. A quel punto, il malware infetta il sistema. Un recente studio ha rivelato che il 37% delle minacce informatiche conosciute è progettato per sfruttare i supporti rimovibili.
Molte forme di malware, come i Trojan horse e gli adware, si mascherano da software utili o copie gratuite di film e file audio. Paradossalmente, spesso si travestono da programmi antivirus o app gratuiti in grado di migliorare le prestazioni del dispositivo. Nonostante le reti torrent in cui gli utenti condividono contenuti multimediali contraffatti siano notoriamente il parco giochi dei criminali informatici, i malware nascosti possono anche farsi strada nei mercati autentici. Recentemente, il malware Goldoson è riuscito a infettare milioni di dispositivi nascondendosi nelle app disponibili nel Google Play Store.
Il malvertising prevede l'inserimento, da parte dell'hacker, di annunci dannosi in reti pubblicitarie legittime o il sabotaggio degli annunci autentici in modo da immettere il codice nocivo. Ad esempio, il malware Bumblebee si è diffuso tramite un annuncio Google dannoso che si spacciava per Cisco AnyConnect. Gli utenti che cercavano il prodotto reale vedevano l'annuncio nei risultati di ricerca, lo selezionavano e scaricavano involontariamente il malware. Una tecnica simile chiamata "download drive-by" fa sì che gli utenti non debbano selezionare nulla: non appena visitano un sito Web dannoso, il download si avvia automaticamente.
Nelle reti aziendali, i dispositivi personali degli utenti possono essere i principali vettori di malware. Gli smartphone e i laptop degli utenti possono essere infettati nel tempo libero, quando si collegano a reti non protette senza il vantaggio delle soluzioni di sicurezza dell'azienda. Quando gli utenti utilizzano tali dispositivi, il malware può diffondersi nella rete aziendale.
Se la rete di un fornitore viene compromessa, il malware può diffondersi nelle reti di aziende che usano i prodotti e i servizi di tale fornitore. Ad esempio, i criminali informatici hanno utilizzato al meglio una falla della piattaforma VSA di Kaseya per diffondere il ransomware ai clienti con il pretesto di un aggiornamento software legittimo.
Alcune infezioni malware, come i ransomware, si notano. La maggior parte, tuttavia, cerca di restare nascosta mentre provoca il caos. In ogni caso, le infezioni malware spesso lasciano delle tracce che i team addetti alla sicurezza informatica possono utilizzare per identificarle. Eccone alcune:
Calo delle prestazioni: i programmi malware utilizzano le risorse del computer infetto per funzionare, spesso sottraendo spazio di archiviazione e interrompendo processi legittimi. Il team addetto al supporto IT potrebbe notare un afflusso di ticket da parte di utenti i cui dispositivi sono più lenti, si arrestano in modo anomalo o sono inondati di popup.
Nuova e inaspettata attività della rete: il personale IT e di sicurezza può notare strani pattern, ad esempio processi che utilizzano più larghezza di banda del solito, dispositivi che comunicano con server sconosciuti o account utente che accedono ad asset che di solito non utilizzano.
Configurazioni modificate: alcuni ceppi di malware alterano le configurazioni dei dispositivi o disattivano le soluzioni di sicurezza per non essere rilevati. I team IT e di sicurezza potrebbero notare che, ad esempio, le regole del firewall sono cambiate o i privilegi di un account sono stati incrementati.
Avvisi di eventi di sicurezza: per le organizzazioni che utilizzano soluzioni di rilevamento delle minacce, il primo segnale di un'infezione da malware è probabilmente un avviso di evento di sicurezza. Soluzioni come i sistemi di rilevamento delle intrusioni (IDS), le piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM) e i software antivirus possono segnalare potenziali attività di malware affinché il team di risposta agli incidenti possa esaminarle.
Gli attacchi malware sono inevitabili, ma ci sono misure che le organizzazioni possono adottare per rafforzare le proprie difese. Eccone alcune:
Formazione sulla sensibilizzazione alla sicurezza: molte infezioni da malware derivano dal download di software falsi da parte degli utenti o dall'abboccare a truffe di phishing. La formazione sulla sensibilizzazione alla sicurezza può aiutare gli utenti a individuare attacchi di ingegneria sociale, siti Web nocivi e app false. Inoltre, può aiutarli a capire cosa fare e chi contattare se sospettano una minaccia malware.
Politiche di sicurezza: richiedere password complesse, autenticazione a più fattori e VPN quando si accede ad asset riservati tramite rete Wi-Fi non protette può aiutare a limitare l'accesso degli hacker agli account degli utenti. Anche creare una pianificazione regolare per la gestione patch, le valutazioni delle vulnerabilità e i test di penetrazione può aiutare a rilevare le vulnerabilità del software e del dispositivo prima che i criminali informatici le sfruttino. Le politiche di gestione dei dispositivi BYOD e di prevenzione dell'IT ombra possono impedire agli utenti di introdurre inconsapevolmente malware nella rete aziendale.
Backup: mantenere aggiornati i backup di dati riservati e delle immagini del sistema, idealmente su dischi rigidi o altri dispositivi che possono essere scollegati dalla rete, può semplificare il recupero da attacchi malware.
Architettura di rete Zero Trust: Zero Trust è un approccio alla sicurezza di rete che presuppone l'assenza di fiducia e la verifica continua degli utenti. In particolare, lo Zero Trust implementa il principio del minimo privilegio, la microsegmentazione di rete e l'autenticazione adattiva continua per garantire che nessun utente o dispositivo possa accedere a dati o risorse riservati a cui non dovrebbe. Se il malware entra nella rete, questi controlli possono limitarne il movimento laterale.
Piani di risposta agli incidenti: creare preventivamente piani di risposta agli incidenti per diversi tipi di malware può aiutare i team addetti alla cybersecurity a eliminare le infezioni da malware più rapidamente.
Oltre alle tattiche manuali descritte in precedenza, i team addetti alla cybersecurity possono utilizzare le soluzioni di sicurezza per automatizzare gli aspetti della rimozione, del rilevamento e della prevenzione del malware. Gli strumenti comuni includono:
Software antivirus: chiamati anche software "anti-malware", i programmi antivirus eseguono la scansione dei sistemi per rilevare tracce di infezione. Oltre ad avvertire gli utenti, molti programmi antivirus possono isolare e rimuovere automaticamente il malware al momento del rilevamento.
Firewall: i firewall possono prima di tutto impedire che parte del traffico dannoso raggiunga la rete. Se il malware riesce a penetrare in un dispositivo di rete, i firewall possono impedire le comunicazioni in uscita verso gli hacker, come ad esempio un key logger che invia le battiture tasto all'autore dell'attacco.
Piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM): le piattaforme SIEM raccolgono informazioni da strumenti di sicurezza interni, le aggregano in un log centrale e segnalano eventuali anomalie. Inoltre, centralizzano gli avvisi provenienti da diverse origini, quindi possono individuare i segnali più impercettibili di malware più facilmente.
Piattaforme di Orchestrazione della sicurezza, automazione e risposta (SOAR): le piattaforme SOAR integrano e coordinano diversi strumenti di sicurezza, consentendo ai team addetti alla sicurezza di creare playbook parzialmente o completamente automatizzati per rispondere al malware in tempo reale.
Piattaforme di rilevamento e risposta degli endpoint (EDR): le piattaforme EDR monitorano le unità di endpoint, come smartphone, laptop e server, per rilevare tracce di attività sospette e possono rispondere automaticamente al malware rilevato.
Piattaforme di rilevazione e risposta estesa (XDR): le piattaforme XDR integrano strumenti e operazioni di sicurezza in tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, carichi di lavoro cloud e dati. Le piattaforme XDR possono automatizzare complessi processi di prevenzione, rilevamento, analisi e risposta al malware, compresa l'individuazione proattiva delle minacce.
Strumenti di gestione della superficie di attacco (ASM): gli strumenti ASM rilevano, analizzano, correggono e monitorano continuamente tutte gli asset presenti nella rete di un'organizzazione. Possono essere utili per aiutare i team addetti alla sicurezza informatica a individuare app e dispositivi IT ombra non autorizzati che potrebbero contenere malware.
Gestione unificata degli endpoint (UEM): il software UEM monitora, gestisce e protegge tutti i dispositivi degli utenti finali di un'organizzazione, inclusi desktop, laptop e dispositivi mobili. Molte organizzazioni utilizzano soluzioni UEM per garantire che i dispositivi BYOD dei dipendenti non introducano malware nella rete aziendale.
Outsmart attacca con una suite di sicurezza connessa e modernizzata. Il portfolio QRadar è dotato di AI di livello aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione log, le piattaforme SIEM e SOAR, il tutto con un'interfaccia utente comune, insight condivisi e workflow connessi.
L'individuazione proattiva alle minacce, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che deve affrontare un reparto IT già impegnato. Avere a disposizione un team affidabile di risposta agli incidenti può ridurre i tempi di risposta, minimizzare l'impatto di un attacco informatico e aiutarti a recuperare più rapidamente.
Per prevenire e combattere le moderne minacce ransomware, IBM utilizza insight provenienti da 800 TB di dati su minacce e attività correlate, informazioni su oltre 17 milioni di attacchi spam e di phishing e dati reputazionali di quasi 1 milione di indirizzi IP malevoli provenienti da una rete composta da 270 milioni di endpoint.
Gli attacchi informatici sono tentativi indesiderati di rubare, esporre, alterare, disabilitare o distruggere le informazioni tramite l'accesso non autorizzato ai sistemi di elaborazione.
Il ransomware tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento del riscatto. Scopri come funziona il ransomware, perché è proliferato negli ultimi anni e come le organizzazioni si difendono da esso.
Zero Trust è un framework che considera la sicurezza di una rete complessa sempre a rischio per le minacce esterne e interne. Organizza ed elabora una strategia adottando un approccio approfondito per contrastare tali minacce.
Ogni anno, IBM Security X-Force, il nostro team interno di esperti di cybersecurity e addetti alla correzione, analizza miliardi di punti dati, ricavandone le statistiche e le tendenze di sicurezza più urgenti e attuali.