Il malware, contrazione delle parole inglesi malicious e software, è per l’appunto un software malevolo in grado di intrufolarsi in un computer, in un dispositivo mobile o in una rete aziendale senza l’autorizzazione dell’utente con lo scopo di trafugare dati riservati, spiare le vittime o arrecare danni più o meno gravi al sistema informatico nel quale è in esecuzione.
Indice degli argomenti
Cosa sono i malware
Malware è dunque un termine generico utilizzato per identificare qualunque tipologia di codice malevole esistente, indipendentemente dalle tecniche utilizzate per diffondere queste minacce e installarle nei sistemi target o dai danni che provocano.
Gli autori dei malware sono spesso team di criminal hacker interessati solo ai profitti derivanti dalla vendita dei dati trafugati alle vittime (pensiamo, ad esempio, alle credenziali di accesso a siti e servizi online, ai numeri di carte di credito o alle informazioni riservate utilizzabili successivamente per campagne di profilazione più o meno lecite) o del codice malevolo stesso nel Dark Web.
In altri casi, il malware può essere utilizzato come strumento di protesta, come soluzione per testare la sicurezza o anche come arma al servizio di qualche governo per compiere attacchi mirati di cyber spionaggio e cyber sabotaggio ai danni di singoli individui o grandi e piccole organizzazioni.
Come vengono diffusi i malware
I malware vengono diffusi tipicamente tramite Internet o mediante messaggi di posta elettronica, ma esistono numerosi altri metodi differenti utilizzati dai criminal hacker per diffonderli e infettare i dispositivi delle vittime:
- file dannosi allegati a e-mail di phishing. In questo caso, i criminal hacker utilizzano messaggi di posta elettronica creati mediante tecniche di social engineering per incoraggiare il destinatario ad aprire l’allegato. Una volta aperto quest’ultimo, il codice malware si installa sul dispositivo;
- collegamenti URL dannosi nel testo di un’e-mail. Anche in questo caso, l’e-mail utilizza tecniche di social engineering più o meno evolute per incoraggiare il destinatario a cliccare sul collegamento. Quando ciò avviene, la vittima viene reindirizzata alla pagina web di un sito compromesso e controllato dai criminal hacker e contenente il codice malevolo;
- drive-by download. Mediante questa tecnica di diffusione, il malware viene scaricato sul computer della vittima quando quest’ultima visita direttamente un sito contenente codice malevolo o viene reindirizzata alla pagina del sito tramite un annuncio malevolo (malvertising);
- dispositivi USB infetti. Ancora oggi è uno dei metodi più efficaci per diffondere il malware, soprattutto in ambienti aziendali e produttivi;
- intrusioni dirette nelle reti locali attraverso falle di sicurezza nel perimetro virtuale;
- vulnerabilità del sistema operativo o delle applicazioni installate sui dispositivi delle vittime. Un esempio potrebbe essere un plug-in Flash non aggiornato o non configurato correttamente nel browser dell’utente;
- applicazioni per dispositivi mobile scaricate da app store non ufficiali, anche se non mancano i casi di malware nascosti nelle app distribuite liberamente anche sugli store ufficiali. In questo caso è importante considerare i messaggi di avvertenza nell’installazione di applicazioni, specialmente se richiedono il permesso di accedere alle e-mail o ad altri dati personali.
In alcuni casi i criminal hacker riescono a nascondere i malware anche nelle versioni demo, trial e freeware di altri software o videogiochi, nelle toolbar per i browser, in finti antivirus e tool di rimozione e, più in generale, in qualsiasi altro materiale scaricabile da Internet.
Come riconoscere un’infezione da malware
Tipicamente un malware non è in grado di danneggiare fisicamente i dispositivi hardware o di rete colpiti con il proprio codice malevolo. L’unico modo per rilevare la presenza di un malware in un sistema informatico è dunque mediante l’analisi di eventuali comportamenti anomali e sospetti. In particolare, esistono alcuni indizi che più di altri possono segnalare la presenza di codice malevolo nel proprio dispositivo: Ecco alcuni indizi che segnalano la presenza di un malware nel sistema:
- le prestazioni del computer iniziano a diminuire in maniera evidente e si riducono notevolmente sia la velocità di caricamento del sistema operativo e delle applicazioni installate sia la navigazione su Internet;
- durante il normale utilizzo del computer o mentre si naviga su Internet lo schermo del dispositivo si riempie di inutili e irritanti annunci pubblicitari visualizzati in finestre popup che, il più delle volte, sono anche difficili da chiudere;
- il sistema si blocca continuamente mostrando la fatidica schermata blu di errore (BSOD, Blue Screen of Death) in seguito ad un errore irreversibile;
- aumenta inspiegabilmente l’attività di rete del sistema;
- l’utilizzo delle risorse di sistema è insolitamente elevato e la ventola del computer inizia a girare al massimo dei giri consentiti;
- la home page del browser viene modificata senza alcuna autorizzazione;
- nello stesso browser vengono installate toolbar ed estensioni sconosciute;
- l’antivirus smette di funzionare e diventa impossibile aggiornarlo.
Altri sintomi di un’avvenuta infezione da malware sono, invece, decisamente più plateali. È il caso, ad esempio, dei ransomware che si presentano all’improvviso con una schermata sul monitor del dispositivo infetto per informare la vittima di aver preso possesso dei suoi dati, chiedendo quindi un riscatto per la restituzione dei file. Esistono, tuttavia, alcune varianti di malware in grado di nascondersi in profondità nel sistema operativo infetto, passando inosservati anche ai software antivirus. Pensiamo, ad esempio, ai malware fileless che vengono eseguiti direttamente nella memoria RAM del computer e non memorizzano alcun file sull’hard disk. Così facendo riescono a completare le loro azioni malevoli senza sollevare sospetti mentre rubano password, si appropriano di file sensibili o utilizzano il PC infetto per diffondersi su altri computer.
Tutte le tipologie di malware
Alla luce di quanto visto finora possiamo ora procedere ad una catalogazione delle tipologie di malware più diffuse, tenendo conto comunque che alcune delle varianti più pericolose più tecniche malevoli contemporaneamente:
Adware
Software indesiderati che visualizzano messaggi pubblicitari sullo schermo, spesso all’interno delle finestre del browser. Generalmente, gli adware si avvalgono di un metodo subdolo, mascherandosi da componenti legittimi o nascondendosi in un altro programma al fine di provocarne con l’inganno l’installazione su PC, tablet o dispositivo mobile.
Spyware
Lo spyware è una particolare tipologia di malware progettata per spiare le attività dell’utente sul computer, senza autorizzazione, per poi comunicarle ai criminal hacker che hanno sviluppato il codice malevolo.
Virus
Si tratta di un codice malevolo che, così come avviene in natura, si “attacca” ad altri programmi infettandoli. Quando l’utente lo esegue, di solito inavvertitamente, il virus si riproduce modificando altri programmi e file e infettandoli con il proprio codice.
Worm
Sono simili ai virus, ma a differenza di questi sono stati progettati per diffondersi sugli altri computer di una rete e danneggiandoli, di solito, mediante la distruzione di file e cartelle di sistema.
Trojan
I “cavalli di Troia” sono tra i malware più pericolosi in circolazione. Di solito si presentano sotto forma di qualcosa di utile, ad esempio come tool per lo sblocco delle versioni a pagamento di noti software commerciali. Questo stratagemma viene utilizzato, ovviamente, per ingannare l’utente. Una volta “entrato” nel sistema, il trojan consente ai criminal hacker di ottenere l’accesso completo e non autorizzato al computer della vittima.
Ransomware
Come dicevamo prima, sono malware che impediscono alla vittima di accedere al proprio dispositivo e criptano i suoi file, obbligandola a pagare un riscatto per riottenerli. Molto diffusi e pericolosi sono anche i ransomware fileless. Il codice malevolo necessario per realizzare un ransomware è facilmente acquistabile sui marketplace criminali, rendendo questa tipologia di malware sfruttabile anche da parte di malintenzionati senza particolari competenze tecniche.
Rootkit
I rootkit consentono ai criminal hacker di ottenere i privilegi da amministratore sul sistema infetto. Generalmente, sono progettati per rimanere nascosti agli occhi dell’utente, degli altri software e del sistema operativo stesso.
Keylogger
I keylogger semplici codici malevoli sono capaci di registrare tutto ciò che la vittima digita sulla tastiera, inviando poi le informazioni raccolte ai criminal hacker che, in questo modo, riescono a rubare informazioni sensibili come nomi utente, password o dati delle carte di credito.
Cryptominer
Nota anche come drive-by mining o cryptojacking, è una tecnica malware sempre più diffusa, che in genere prevede l’installazione di un trojan e consente ai criminal hacker di utilizzare le risorse hardware della macchina infetta per “generare” (mining) criptovalute.
Exploit
Si tratta di codici malevoli che sfruttano i bug e le vulnerabilità del sistema operativo o delle applicazioni consentendo poi ai criminal hacker di prenderne il controllo da remoto.
Come rimuovere i malware
Non è semplice rimuovere un malware da un sistema infetto, anche perché come abbiamo visto ci sono casi in cui l’eventuale infezione non produce alcuna attività malevola visibile. Per eliminare ogni possibile codice malevolo da un dispositivo è quindi opportuno affidarsi ad un programma antimalware come Malwarebytes disponibile in versione Windows, Mac e Android.
Per quanto efficiente sia, però, il solo antimalware potrebbe non bastare per difendersi e prevenire un eventuale attacco malware. I criminal hacker, infatti, investono molto tempo e ingenti risorse economiche per sviluppare varianti di malware sempre più evolute e in grado di aggirare i sistemi di sicurezza aziendale.
È dunque sbagliato affidarsi a un unico livello di sicurezza per proteggersi da questi attacchi. Intanto, terminata la pulizia “fisica” del malware, è opportuno cambiare le password del PC, dello smartphone o del tablet, quella della casella di posta elettronica, dei vari account social, dei siti di e-commerce utilizzati per lo shopping online e, ovviamente, quella dei servizi di home banking e di pagamento online.
In ambito aziendale, inoltre, è opportuno adottare alcune semplici regole di sicurezza informatica utili a mettere in sicurezza il patrimonio informativo. Innanzitutto, è importantissimo istruire i propri dipendenti a riconoscere e difendersi dagli attacchi informatici: la maggior parte dei malware, infatti, richiede un’azione da parte dell’utente per l’attivazione del payload malevolo.
Sempre più spesso, poi, i criminal hacker utilizzano sofisticate tecniche di social engineering per diffondere e-mail malevoli assolutamente credibili e indurre l’utente a scaricare malware o a rivelare le proprie credenziali di accesso alle risorse aziendali. In quest’ottica, tutte le aziende dovrebbero prevedere dei piani di formazione continua in materia di sicurezza informatica che aiutino i dipendenti a districarsi tra i differenti vettori di attacco mettendoli in condizioni di distinguere, ad esempio, tra una comunicazione ufficiale di un fornitore o di un dirigente e un’e-mail di phishing con oggetto “Invio Fattura elettronica”.
È molto importante adottare anche programmare una policy di patching aziendale che consente ai responsabili dei reparti IT di accorgersi per tempo di un eventuale problema e gestirlo di conseguenza per rinforzare i propri punti deboli, senza limitarsi al semplice aggiornamento dei sistemi. Bisogna poi ricordarsi di installare sempre le patch di sicurezza rilasciate per i sistemi operativi o per le principali applicazioni utilizzate quotidianamente sui server e sugli endpoint aziendali: è infatti relativamente semplice, per i criminal hacker, identificare dispositivi e software privi di patch su una rete aziendale e, una volta individuati, sfruttare le vulnerabilità note per comprometterli.
Infine, occorre eseguire periodicamente un backup dei dati e metterlo in sicurezza. Ricordiamo, infatti, che i ransomware possono crittografare anche eventuali copie di sicurezza dei file archiviati sui server o su risorse di rete. Una soluzione, in questo caso, potrebbe essere quella di duplicare il backup anche su una risorsa cloud in modo da riuscire a ripristinarli facilmente in caso di infezione da malware, riducendo al minimo l’impatto sulle attività aziendali.
