Il termine "malware" (contrazione di "malicious software") si riferisce a qualsiasi software dannoso creato per infiltrarsi, danneggiare o compromettere sistemi informatici e reti. Sviluppato da criminali informatici, il malware può avere diversi scopi, tra cui il furto di dati, il sabotaggio di infrastrutture, l'estorsione e il guadagno economico. Questo tipo di software è progettato per invadere i sistemi, esfiltrare informazioni sensibili come password o documenti riservati, e compromettere la funzionalità delle reti, rendendole inutilizzabili o vulnerabili. Dai virus ai ransomware, passando per spyware e adware, il malware rappresenta una delle principali minacce alla sicurezza informatica, spesso sfruttando vulnerabilità per causare danni significativi o estorcere denaro alle vittime.
Uno dei più grandi problemi con il malware è la sua ampia diffusione, agevolata dalla moltitudine di tipi che esistono e che col tempo diventano sempre più sofisticati e difficili da scoprire. Oltre a best practices e strumenti per prevenire gli attacchi, è bene conoscere le diverse forme sotto cui si presenta un malware.
Un Trojan è un tipo di malware che si maschera da software legittimo o innocuo per ingannare l’utente e ottenere accesso a un sistema informatico. A differenza di virus e worm, i Trojan non si replicano autonomamente, ma sfruttano tecniche di ingegneria sociale per essere installati. I metodi di diffusione più comuni includono email di phishing con allegati malevoli, aggiornamenti software falsi, download da siti compromessi o persino applicazioni apparentemente sicure. Una volta eseguito, il Trojan agisce in modo nascosto per eseguire una serie di attività dannose.
Tra gli obiettivi principali dei Trojan vi sono il furto di dati sensibili, come credenziali di accesso o informazioni bancarie; la creazione di backdoor che consentono ai cybercriminali di accedere al sistema infetto per ulteriori attacchi; la modifica delle impostazioni di sicurezza per eludere la rilevazione; e, in alcuni casi, il controllo remoto dell’intero sistema. Questi malware possono anche essere utilizzati per scaricare ed eseguire altri tipi di malware, amplificando i danni.
Esistono diverse tipologie di Trojan, ognuna progettata per scopi specifici. Ad esempio, i Downloader Trojan scaricano ed eseguono altri programmi dannosi, i Banker Trojan rubano dati finanziari, i Rootkit Trojan si nascondono nel sistema per evitare la rilevazione, e i Remote Access Trojan (RAT) consentono il controllo remoto del dispositivo infetto. Altre varianti includono i Game-thief Trojan, che rubano credenziali di gioco, e gli Infostealer Trojan, progettati per raccogliere dati personali e sensibili.
Il danno che un Trojan può causare è significativo e varia dal furto di informazioni personali, alla compromissione dell’infrastruttura aziendale, fino all’interruzione delle operation. Il rilevamento di un Trojan può essere complicato, poiché spesso opera in modo discreto e imita software legittimo.
Un virus è un malware progettato per infettare programmi, file e sistemi operativi, causando disfunzioni, perdita di dati e potenziali danni alle infrastrutture informatiche. I virus si diffondono legandosi a file eseguibili, come documenti o software, e vengono attivati quando l’utente li apre. Una volta in esecuzione, possono replicarsi e propagarsi attraverso reti, email, dispositivi di archiviazione come USB o dischi rigidi, e siti web compromessi. A differenza di altri malware, i virus richiedono un'interazione umana per eseguire il loro codice, il che li rende particolarmente pericolosi se associati a tecniche di ingegneria sociale, come allegati email fraudolenti o download da fonti non sicure.
Esistono diversi tipi di virus, ciascuno con caratteristiche e obiettivi specifici. I resident virus infettano le applicazioni durante l’uso, mentre i multipartite virus si diffondono attraverso più canali, come memoria e dischi rigidi, causando rallentamenti di sistema. I direct action virus colpiscono rapidamente file e programmi, per poi autoeliminarsi, mentre i browser hijacker modificano le impostazioni del browser, introducendo pubblicità invasive o alterando la homepage. I file infector virus attaccano file eseguibili (.exe), propagandosi rapidamente su reti, e i boot sector virus compromettono la memoria principale del computer, rendendolo incapace di avviarsi correttamente. Virus più sofisticati, come i network virus, sfruttano le connessioni internet per infettare intere reti, e i web scripting virus attaccano la sicurezza dei browser, iniettando codice malevolo in siti web.
I danni causati dai virus variano da rallentamenti delle prestazioni e perdita di dati a gravi compromissioni della sicurezza di reti e sistemi aziendali.
Il ransomware è un malware progettato per bloccare o criptare file, dati o interi sistemi, rendendoli inaccessibili fino al pagamento di un riscatto agli attaccanti. Questo tipo di attacco segue un ciclo ben definito, articolato in sei fasi principali: distribuzione e infezione, comando e controllo (C&C), Discovery and lateral movement, cifratura dei file, estorsione e risoluzione. L'infezione iniziale avviene spesso tramite tecniche di phishing, vulnerabilità software non corrette o credenziali rubate. Una volta che il ransomware si è introdotto nei sistemi, comunica con un server di comando e controllo per ricevere le chiavi di cifratura e le istruzioni necessarie. Successivamente, i dati vengono cifrati e i sistemi resi inaccessibili, mentre gli attaccanti avviano richieste di riscatto, che spesso includono la minaccia di pubblicare o vendere i dati sottratti.
I vettori di attacco sono molteplici. Tra i più comuni ci sono email di phishing con link o allegati malevoli, sfruttamento di vulnerabilità software non aggiornate e uso improprio del protocollo RDP (Remote Desktop Protocol). RDP, in particolare, è spesso compromesso attraverso attacchi di forza bruta o credenziali rubate, consentendo agli attaccanti di accedere ai sistemi come se fossero utenti legittimi. Un esempio emblematico dell'impatto delle vulnerabilità software è l'attacco WannaCry del 2017, che sfruttava la falla EternalBlue nel protocollo SMB di Windows, infettando oltre 200.000 sistemi in pochi giorni.
Le tipologie di ransomware sono molteplici e variano per modalità di azione e obiettivi. Il locker ransomware blocca completamente l'accesso al sistema, mentre il crypto ransomware cripta file specifici, rendendoli inaccessibili. Forme più avanzate includono il double extortion ransomware, che combina cifratura ed esfiltrazione di dati, e il triple extortion ransomware, che aggiunge ulteriori minacce, come attacchi DDoS o pressioni su clienti e fornitori della vittima per incrementare la coercizione. Un’altra variante, il Ransomware-as-a-Service (RaaS), adotta un modello di distribuzione "in abbonamento", dove i creatori di ransomware vendono il malware preconfigurato ad altri attori malevoli, ricevendo in cambio una percentuale dei proventi. Questo modello ha reso il ransomware accessibile a un numero crescente di criminali informatici, aumentando l'incidenza degli attacchi.
I danni causati dal ransomware possono essere devastanti, sia per individui che per organizzazioni. Questi attacchi spesso portano alla perdita o alla compromissione di dati critici, alla paralisi operativa e a danni reputazionali difficili da recuperare. In molti casi, i costi di risoluzione sono esorbitanti, comprendendo non solo i riscatti pagati, ma anche le spese legate al recupero dei dati, alla ricostruzione dei sistemi e al rafforzamento delle infrastrutture di sicurezza.
Lo spyware è un malware progettato per infiltrarsi nei dispositivi elettronici (come computer, smartphone o tablet) con l'obiettivo di raccogliere informazioni sensibili senza il consenso dell'utente. Una volta installato, lo spyware può monitorare una vasta gamma di attività: catturare password e credenziali di accesso, leggere email e messaggi, registrare sequenze di tasti tramite keylogger, intercettare comunicazioni, accedere a dati bancari o attivare periferiche come microfoni e fotocamere per la sorveglianza non autorizzata. In alcuni casi, può anche compromettere la funzionalità del sistema, rendendo i dispositivi più vulnerabili a ulteriori attacchi.
La diffusione dello spyware avviene tramite tecniche di ingegneria sociale e vulnerabilità tecnologiche. Tra i vettori più comuni vi sono allegati e link malevoli in email di phishing, app infette, plugin del browser compromessi e dispositivi di archiviazione esterni.
Alcuni spyware avanzati sfruttano le vulnerabilità dei sistemi operativi o dei browser per infettare i dispositivi senza alcuna interazione dell'utente, come nel caso degli attacchi zero-click. Tecniche più sofisticate possono includere l'uso di cookie per raccogliere dati di navigazione o la distribuzione tramite Trojan, che fungono da veicolo per il malware.
Anche in questo caso, esistono diverse tipologie di spyware, ciascuna con caratteristiche specifiche. Gli infostealer raccolgono dati generici come credenziali, cronologie di navigazione e documenti sensibili; i banking trojan si concentrano su attività bancarie online, catturando dati di carte di credito o autenticazioni di account finanziari; i keylogger registrano tutto ciò che viene digitato sulla tastiera, comprese password e messaggi. Altri spyware, come i digital interceptors, vengono talvolta utilizzati da autorità governative per monitorare comunicazioni in contesti investigativi, ma il loro uso solleva questioni etiche e legali. Dal punto di vista tecnico, lo spyware opera in background, spesso mascherandosi come software legittimo per eludere i controlli di sicurezza. Può modificare i registri di sistema, disabilitare funzioni di sicurezza come firewall e antivirus, e trasmettere dati raccolti ai server controllati dagli attaccanti attraverso canali criptati. Questo lo rende difficile da rilevare e particolarmente pericoloso in contesti aziendali, dove può portare a furti di proprietà intellettuale, violazioni di dati sensibili e danni reputazionali.
Un worm è un tipo di malware capace di auto-propagarsi senza l'interazione umana, diffondendosi rapidamente da un computer all'altro attraverso reti locali (LAN) o connessioni Internet. I worm operano in modo autonomo, replicandosi e inviando copie di sé stessi a centinaia o migliaia di dispositivi, sfruttando vulnerabilità nei sistemi operativi, software non aggiornati o canali come email, reti di file-sharing e piattaforme di messaggistica.
I worm si distinguono da altri tipi di malware per il loro comportamento. A differenza dei virus, che necessitano di un file eseguibile o di un'azione dell'utente per attivarsi, i worm si diffondono automaticamente. Rispetto ai trojan, che si mascherano da software legittimi per compromettere i sistemi, i worm si replicano attivamente, rendendoli particolarmente pericolosi in reti aziendali o ambienti connessi.
Una volta installati, i worm possono eseguire una varietà di azioni dannose. Queste includono il lancio di attacchi DDoS, il furto di dati sensibili, l'installazione di altri tipi di malware, il consumo eccessivo di banda, e persino la cancellazione di file. Oltre ai danni diretti, i worm possono sovraccaricare le reti, rallentare i sistemi e complicare notevolmente i processi di risposta agli incidenti. In ambienti complessi, come i sistemi di archiviazione dati, la loro eliminazione può richiedere mesi di lavoro e risorse significative.
Esistono diversi tipi di worm, ciascuno con meccanismi e obiettivi specifici. Gli email worm si diffondono come allegati o link malevoli inviati via email. I file-sharing worm si camuffano da file multimediali innocui per infettare dispositivi tramite reti di condivisione file. Gli IM wormutilizzano piattaforme di messaggistica istantanea per ingannare le vittime con link o allegati infetti. I cryptoworm combinano la propagazione dei worm con funzionalità di ransomware, criptando i dati della vittima e chiedendo un riscatto. Altri tipi includono gli IRC worm, che attaccano chat room, e i P2P worm, progettati per sfruttare le reti peer-to-peer.
Lo scareware è una forma di malware che utilizza tecniche di ingegneria sociale per manipolare gli utenti, sfruttando la paura come leva per indurli a eseguire azioni dannose per sé stessi, come scaricare malware, effettuare pagamenti non autorizzati o fornire dati personali. Si manifesta principalmente attraverso pop-up o messaggi di avviso falsi, che simulano notifiche di sistemi operativi, antivirus legittimi o persino autorità governative, affermando che il dispositivo dell’utente è stato compromesso da virus o contenuti illeciti. Questi messaggi sono progettati per sembrare autentici, utilizzando loghi ufficiali, URL che imitano siti legittimi e un linguaggio persuasivo per creare un senso di urgenza.
Dal punto di vista tecnico, lo scareware sfrutta le vulnerabilità del browser o del sistema operativo per iniettare notifiche o pop-up che, una volta cliccati, possono avviare il download di malware, reindirizzare l’utente verso siti web fraudolenti o raccogliere dati personali. In alcuni casi, i criminali configurano i pop-up in modo che persino il tentativo di chiuderli avvii un download nascosto (drive-by download), compromettendo ulteriormente la sicurezza del dispositivo. Gli utenti possono essere indotti a scaricare software apparentemente legittimi che non solo non risolvono il problema segnalato, ma agiscono come Trojan, installando spyware, ransomware o altri tipi di malware.
Lo scareware si inserisce in una rete più ampia di attacchi informatici, spesso servendo come vettore iniziale per minacce più sofisticate. Un esempio è l’uso dello scareware per distribuire ransomware, convincendo gli utenti a scaricare falsi antivirus che poi criptano i dati del dispositivo, richiedendo un riscatto. Simili strategie sono adottate nelle truffe di falso supporto tecnico, dove i criminali inducono gli utenti a concedere accesso remoto al sistema, disinstallare protezioni legittime e installare malware, facilitando ulteriori attacchi.
Il rischio principale dello scareware non risiede solo nelle perdite economiche dirette, come nel caso di pagamenti per software inutili o inesistenti, ma anche nel ruolo che svolge nel compromettere la sicurezza complessiva del sistema, esponendolo a minacce successive.
Adware (advertisement-supported software) è un tipo di software che genera automaticamente annunci pubblicitari su dispositivi come computer, smartphone o tablet, principalmente attraverso browser web. Sebbene alcune forme di adware siano legittime e mirino a compensare i costi di sviluppo dei software gratuiti, altre sono intrusive o dannose, operando senza il consenso dell’utente e aprendo la strada a ulteriori minacce malware.
L’adware si diffonde principalmente tramite programmi gratuiti o shareware scaricati da Internet, che includono componenti pubblicitari nel pacchetto software, spesso senza informare chiaramente l’utente. In altri casi, sfrutta vulnerabilità nei sistemi operativi o nei browser per installarsi di nascosto. Una volta attivato, l’adware genera entrate per i suoi sviluppatori utilizzando modelli come pay-per-click (PPC), pay-per-view (PPV) o pay-per-install (PPI). Può anche tracciare la cronologia di navigazione e la posizione dell’utente per proporre annunci mirati e vendere i dati raccolti a terzi.
Dal punto di vista tecnico, alcune forme di adware possono essere semplicemente fastidiose, mostrando annunci indesiderati o rallentando il dispositivo. Altre, invece, utilizzano tecniche più aggressive, come rootkit che si infiltrano nel sistema per renderne difficile la rimozione. Adware particolarmente dannosi possono funzionare come Trojan, installando spyware o eseguendo clic fraudolenti su annunci senza che l’utente se ne accorga. Nei casi peggiori, alcune varianti sottoscrivono servizi premium a insaputa dell’utente, generando costi imprevisti.
Gli indicatori di un’infezione da adware includono cambiamenti improvvisi alla homepage del browser, rallentamenti del sistema, pop-up pubblicitari persistenti, reindirizzamenti indesiderati durante la navigazione e app sconosciute installate sul dispositivo.
Il fileless malware è un tipo di codice malevolo che opera senza utilizzare file eseguibili scritti sul file system del dispositivo infetto. Invece, si esegue interamente nella memoria RAM, sfruttando processi legittimi e già presenti nel sistema operativo per evitare di essere rilevato dai tradizionali software antivirus. Questo approccio riduce la "traccia" lasciata dal malware, rendendolo particolarmente difficile da individuare e neutralizzare con strumenti di sicurezza tradizionali.
Una tecnica comune consiste nell'iniettare il codice malevolo in un processo di sistema affidabile, come PowerShell o Windows Management Instrumentation (WMI). Ad esempio, un attacco potrebbe iniziare con un'email di phishing che induce la vittima ad aprire un documento Word infetto. Questo documento, utilizzando macro o exploit delle vulnerabilità del software, avvia comandi PowerShell per caricare ed eseguire il payload direttamente nella memoria del sistema, senza mai scrivere alcun file sul disco. Questa strategia consente al malware di rimanere invisibile ai scanner di file basati su signature.
Il fileless malware sfrutta una varietà di tecniche avanzate per infiltrarsi e operare nel sistema. Tra queste figurano l'uso di script come VBScript e JScript, batch file, strumenti come Mshta e Rundll32, e l'esecuzione di codice tramite macro di Office o attacchi basati su DDE (Dynamic Data Exchange). Anche le vulnerabilità nei lettori di documenti, come Microsoft Office o i PDF reader, possono essere sfruttate per avviare comandi malevoli senza richiedere file eseguibili.
Il ciclo di vita di un attacco fileless può essere suddiviso in tre fasi principali. Nella prima fase, l'attaccante ottiene accesso al sistema, solitamente tramite social engineering o credenziali compromesse. Successivamente, stabilisce una persistenza, creando backdoor nel sistema per mantenere l’accesso e raccogliere dati a lungo termine. Infine, esegue l’esfiltrazione dei dati o altre azioni dannose, come il furto di informazioni sensibili o l'installazione di ransomware.
Esistono diverse varianti di fileless malware, ognuna con obiettivi specifici. Il malware residente in memoria sfrutta lo spazio di memoria di file di sistema legittimi per eseguire codice malevolo. I rootkit, che operano a livello del kernel, sono completamente fileless e possono nascondersi in profondità nel sistema. Altre varianti includono malware che risiede nel registro di Windows, sfruttando script temporanei che si autodistruggono dopo l'esecuzione, e ransomware fileless, che cripta i dati senza mai scrivere nulla su disco.
Il fileless malware rappresenta una sfida significativa per le imprese. Poiché utilizza strumenti di sistema legittimi come PowerShell e Office macros, bloccare questi strumenti può compromettere la continuità operativa. Inoltre, la mancanza di file esterni e il basso profilo del malware lo rendono particolarmente difficile da rilevare con gli strumenti di sicurezza tradizionali.
Il rilevamento del malware è un processo complesso che richiede l'impiego di tecniche e strumenti diversi per identificare, bloccare e mitigare i rischi. Poiché le minacce evolvono rapidamente, una strategia efficace deve combinare metodi tradizionali con approcci innovativi per proteggere sia contro i malware noti sia contro varianti sconosciute. Non esiste uno strumento universale per rilevare il malware; la chiave è un approccio multilivello che integra tecniche di analisi statica e dinamica, intelligenza artificiale e strumenti avanzati di monitoraggio.
Le tecniche di rilevamento più comuni includono il rilevamento basato su firme, che confronta il codice di file e programmi con un database di modelli noti. È un metodo efficace contro minacce conosciute, lo è meno contro varianti modificate o malware completamente nuovi. Per affrontare queste limitazioni, il rilevamento basato sul comportamento analizza le attività anomale del sistema, come pattern di traffico di rete, accessi ai file e chiamate di sistema, per individuare comportamenti sospetti che potrebbero indicare la presenza di malware. L'uso di algoritmi di machine learning migliora ulteriormente questa tecnica, adattandosi alle nuove minacce in tempo reale.
Un altro approccio è l'analisi euristica, che utilizza regole e algoritmi per identificare potenziali minacce basandosi su caratteristiche e comportamenti sospetti. Sebbene efficace, questa tecnica può generare falsi positivi, identificando file legittimi come dannosi. Il sandboxing rappresenta un'opzione particolarmente utile per analizzare malware complessi o evasivi: i file sospetti vengono eseguiti in un ambiente virtuale isolato, permettendo ai team di sicurezza di osservare le loro azioni senza rischi per la rete.
La Threat Intelligence gioca un ruolo fondamentale nel rilevamento del malware, raccogliendo e analizzando informazioni da fonti esterne, come vendor di sicurezza e agenzie governative. Questa intelligence aiuta le organizzazioni a restare aggiornate sulle ultime tendenze del malware e a implementare contromisure proattive, migliorando l'efficacia delle tecniche di rilevamento.
Non solo.
Sistemi di Endpoint Detection and Response (EDR) aggiungono un ulteriore livello di sicurezza monitorando continuamente workstation e server, permettendo di analizzare attività sospette e rispondere in modo mirato alle infezioni. Le soluzioni di Extended Detection and Response (XDR) ampliano questa visibilità, correlando dati da più livelli di sicurezza, come rete, email, piattaforme di gestione delle identità e cloud, offrendo una visione olistica delle minacce.
Una strategia avanzata di incident response, di risposta agli incidenti da malware è essenziale per affrontare le minacce in continua evoluzione, come il malware infostealer. Questi programmi sofisticati non solo rubano credenziali e cookie di sessione, ma possono farlo in modo rapido e invisibile, eliminandosi dal dispositivo subito dopo l’operazione. Questo tipo di malware consente agli attori malintenzionati di accedere alle reti aziendali, rubare dati critici e lanciare attacchi ransomware successivi. Per mitigare questi rischi, è necessario aggiornare il framework di risposta agli incidenti, adottando un approccio centrato sull’identità, che vada oltre la semplice rimozione del malware dal dispositivo.
Tradizionalmente, la risposta agli incidenti da malware si è concentrata su azioni come l’identificazione dell’infezione, la rimozione del malware e la reinstallazione del sistema operativo. Tuttavia, questo approccio non affronta i rischi derivanti dalle informazioni sottratte, come credenziali compromesse e cookie di sessione, che possono essere utilizzati per bypassare l'autenticazione multifattoriale (MFA) e facilitare attacchi successivi. È quindi necessario integrare nel piano di risposta agli incidenti passaggi aggiuntivi che proteggano le identità compromesse e minimizzino l'impatto del furto di dati.
Una risposta completa include l’isolamento del dispositivo infetto per prevenire il movimento laterale del malware, seguito da un’analisi approfondita per identificare il tipo di infezione e il suo raggio d’azione. È cruciale creare un’immagine del sistema infetto per scopi di analisi forense e poi procedere alla rimozione del malware utilizzando strumenti avanzati di rilevamento e rimedio. Tuttavia, il processo non dovrebbe terminare qui. Bisogna anche reimpostare le credenziali e invalidare le sessioni web associate alle applicazioni critiche per prevenire attacchi futuri. Poiché i malware infostealer spesso sottraggono informazioni di autenticazione, è fondamentale che tutte le sessioni attive siano terminate e i token di accesso siano invalidati, collaborando, se necessario, con i fornitori di servizi cloud.
Un altro passaggio essenziale è la revisione dell’integrità delle applicazioni colpite. Analizzando i registri di attività e accesso, i team di sicurezza possono verificare comportamenti anomali o accessi non autorizzati, che dovrebbero essere trattati come incidenti a sé stanti. Questo approccio consente di neutralizzare non solo l’infezione iniziale ma anche le conseguenze più ampie che potrebbe comportare.
Incorporare la remediation post-infezione nei piani di risposta agli incidenti consente di ridurre significativamente il rischio di attacchi ransomware derivanti dalle esposizioni al malware. È importante riuscire ad avere una visibilità dettagliata sui dispositivi infetti e sulle informazioni compromesse, permettendo ai team SOC di chiudere efficacemente le vulnerabilità e prevenire escalation. Questa strategia proattiva riduce la finestra di esposizione e interrompe le attività degli attori malintenzionati, proteggendo in modo più completo l’organizzazione.
Aziende e privati, tutti possono essere potenziali bersagli per i criminali informatici. Per questo è necessario conoscere strumenti e strategie per difendere i dispositivi e gli account con i dati personali. Innanzitutto, è doveroso mantenere aggiornati sistema operativo e applicazioni, oltre che utilizzare password robuste e l’autenticazione a due fattori per aumentare il livello di sicurezza.
L’utilizzo di connessioni sicure, l’uso di estensioni di sicurezza del browser per bloccare gli annunci e il backup dei dati eseguito a scadenze regolari sono due passaggi da rispettare, combinate con il ricorso a strumenti di monitoraggio e rilevamento delle minacce, in modo da intervenire in tempo in caso di attacco o, comunque, di ridurre i danni.
In ultimo, ma in realtà fattore determinante, è il ricorso a un software per proteggere il proprio sistema, come il modello GRC - Cybersecurity di SMI, che estende l’approccio Governance, Risk & Compliance alla gestione dei sistemi e delle risorse informatiche. Una scelta per alzare un muro invalicabile contro i criminali digitali.
LEGGI ANCHE: Next Generation Firewall: cos'è