Che cos'è il malware?

Malware è il nome generico attribuito a un codice dannoso creato allo scopo di danneggiare o manomettere computer, telefonini, tablet o altri dispositivi di un utente. Esistono svariate categorie di malware, tra cui worm, trojan, spyware e keylogger. Questi termini vengono spesso usati in maniera intercambiabile e un numero crescente delle nuove varianti di malware contiene un mix di tecniche diverse.

Il fine della maggior parte degli autori di malware è oggi quello di arricchirsi tramite questi programmi.1 L'obiettivo viene solitamente raggiunto attraverso il furto di dati riservati, come ad esempio nomi utente, password, dati di carte di credito e altri dati finanziari. Queste informazioni sensibili vengono quindi utilizzate per lanciare ulteriori attacchi contro aziende e privati cittadini o vendute ad altri malintenzionati. Il ransomware, un tipo di malware che blocca un dispositivo e chiede il pagamento di un riscatto per riguadagnare l'accesso ai file, è una tecnica utilizzata sempre più di frequente per ricavare denaro dal malware.

Si calcola che oltre 390.000 nuove varianti di malware vengano scoperte ogni giorno.

Il malware è progettato per bypassare i sistemi di protezione che dovrebbero rilevarlo, rendendo estremamente difficile per gli addetti alla sicurezza impedire che utenti e aziende ne subiscano gli effetti. Per raggiungere questo obiettivo, gli autori di malware implementano una serie di tecniche tra cui l'utilizzo di file dal nome oscuro, la modifica di attributi dei file, l'imitazione di operazioni di programmi legittimi e la dissimulazione di processi e connessioni di rete. Queste tecniche di offuscamento e aggiramento vengono rafforzate dal numero stesso di nuovi malware; si calcola che ogni giorno vengano scoperte 390.000 nuove varianti.2

Come viene distribuito il malware?

Esistono numerosi modi diversi in cui un malware può essere distribuito, infettando i dispositivi. Tra questi ricordiamo:

  • File dannosi allegati a e-mail di phishing. L'e-mail utilizza quasi sempre tecniche di social engineering per incoraggiare il destinatario ad aprire l'allegato. Una volta aperto l'allegato, il codice malware si installa sul dispositivo.
  • Collegamenti URL dannosi nel testo di un'e-mail. L'e-mail utilizza quasi sempre tecniche di social engineering per incoraggiare il destinatario a fare clic sul collegamento. Quando l'utente fa clic sull'URL, viene reindirizzato alla pagina web di un sito contenente codice malevolo.
  • Drive-by download. Il codice malware viene introdotto quando l'utente visita direttamente un sito contenente codice malevolo o viene reindirizzato alla pagina del sito tramite un annuncio malevolo (malvertising).
  • Dispositivi USB infetti.
  • Intrusioni dirette nella rete attraverso porte aperte in firewall del perimetro.
  • Vulnerabilità del sistema operativo o delle applicazioni installate sul dispositivo. Un esempio potrebbe essere un plug-in Flash non aggiornato o non configurato correttamente nel browser dell'utente. Siti web compromessi da malware possono essere creati per analizzare il dispositivo di un utente e rilevare queste vulnerabilità quando l'utente visita la pagina del sito. Il malware inserito nella pagina identifica le vulnerabilità che può utilizzare e trasmette uno specifico codice malevolo per sfruttare la vulnerabilità rilevata.

Ingresso facilitato

Fino a pochi anni fa, un criminale informatico aveva bisogno di possedere un certo grado di conoscenza di software engineering, sicurezza e reti per lanciare un attacco malware. Nel tempo si è però sviluppato un intero ecosistema che consente ai malintenzionati di creare, distribuire e monetizzare malware al modico costo di $ 39.3 Abbiamo quindi malware-as-a-service (MaaS) e ransomware-as-a-service (RaaS) facilmente ottenibili, che è possibile acquistare e scaricare a prezzi economici e apertamente pubblicizzati su popolari siti web. Di seguito è riportato un esempio di uno di questi siti che mette in vendita un'ampia varietà di MaaS.

Malware Seller

Tipi di malware

Spyware: tiene traccia delle attività eseguite online e raccoglie informazioni su un individuo o un'organizzazione. Invia di nascosto queste informazioni a una seconda entità, che le utilizza per altri scopi malevoli o per prendere il controllo di un dispositivo all'insaputa dell'utente.

Keylogger: registra i tasti premuti da un utente per risalire a nomi utente, password e altre informazioni sensibili. Queste informazioni vengono spesso utilizzate dai criminali informatici per compiere ulteriori attività malevole.

Trojan: mascherato da software legittimo, spia o accede al sistema dell'utente allo scopo di sottrarre, cancellare, bloccare o modificare dati o per impedire il funzionamento di un dispositivo o di una rete. Esistono numerosi tipi di trojan, tra cui trojan backdoor, che consentono ai criminali informatici di prendere il controllo completo da remoto di un dispositivo infetto, trojan-DDoS, che inglobano un dispositivo in un botnet, che poi utilizzano per lanciare attacchi Denial of Service, e trojan e-mail, che consentono di utilizzare un dispositivo per lanciare attacchi di spamming4

Worm: si autoreplica da un dispositivo, un'unità o una rete a un'altra attraverso una connessione di rete. I worm si diffondono automaticamente, senza l'intervento umano, autoreplicandosi, consumando larghezza di banda e sovraccaricando i server web.5

Rootkit: sono progettati per prendere il controllo amministrativo da remoto di un dispositivo. Una volta installato il rootkit, i malfattori possono tenere traccia di tutte le operazioni eseguite sul dispositivo, eseguire file, installare programmi e altri malware e modificare il software, inclusi i programmi antivirus. I rootkit sono notoriamente difficili da rilevare e rimuovere.6

Ransomware: crittografa i file sul dispositivo di un utente o i dispositivi di archiviazione di una rete. Per recuperare l'accesso ai file crittografati, l'utente deve pagare un "riscatto" ai criminali informatici, generalmente tramite un metodo di pagamento elettronico difficile da rintracciare, ad esempio Bitcoin.

Ridurre il rischio che i malware danneggino la vostra azienda

Istruite l'anello più debole della catena. Per attivare il payload, la maggior parte dei malware richiede un'azione da parte dell'utente. Istruire i dipendenti a riconoscere e a difendersi dagli attacchi informatici è essenziale. Molti attacchi utilizzano e-mail e tecniche di social engineering per indurre il dipendente a scaricare malware o a rivelare i propri nome utente e password. In quest'ottica, la formazione dovrebbe concentrarsi su questi comuni vettori di attacchi. Esercitazioni in cui ai dipendenti vengono inviate finte e-mail di phishing sono efficaci per abituare gli utenti a distinguere tra comunicazioni ufficiali dei fornitori e e-mail di phishing con oggetto "Fattura in allegato - aprire".

Patch, patch, patch. E ancora patch. Come dimostrato dai recenti attacchi WannaCry e Petya, se non si segue un approccio rigoroso all'applicazione delle patch che risolvono vulnerabilità di protezione note, l'azienda può essere esposta a seri rischi. Anche mesi dopo aver sfruttato la vulnerabilità EternalBlue per gli attacchi WannaCry e NotPetya, si calcola che almeno 38 milioni di PC siano rimasti privi di patch.7 È relativamente semplice per i criminali informatici identificare dispositivi e software privi di patch su una rete aziendale e, una volta individuati, sfruttare le vulnerabilità note.

Si calcola che almeno 38 milioni di PC siano rimasti privi di patch.

Eseguite il backup dei dati e un backup del backup. Per alcuni quest'affermazione può sembrare ovvia, ma i malware possono crittografare i backup archiviati sui server di rete. Di conseguenza, le aziende devono rivedere l'approccio seguito attualmente per i backup. I dipendenti eseguono il backup di file importanti su un'unità di rete? I backup eseguiti da questi dispositivi e dai file server vengono quindi replicati su un servizio di backup nel cloud? Verificate che all'occorrenza i backup possano essere ripristinati? In questo modo, qualora un malware esegua la crittografia di tutti i file e i backup locali, l'azienda potrà ancora ripristinarli velocemente, riducendo al minimo l'impatto sulle attività aziendali.

Affidarsi a un unico livello di sicurezza per proteggersi da questi attacchi sempre più elaborati non è la strada migliore da seguire.

Rendete difficile la vita ai malfattori implementando più livelli di protezione. I criminali informatici investono moltissimo tempo e denaro nello sviluppo di forme sempre più sofisticate di malware avanzati, progettati per aggirare i sistemi di sicurezza di un'azienda. Affidarsi a un unico livello di sicurezza per proteggersi da questi attacchi sempre più elaborati non è la strada migliore da seguire. Utilizzare più livelli di sicurezza significa che se un livello non riesce a bloccare un attacco, sono presenti altri livelli che possono mitigare la minaccia. Quali livelli di sicurezza sono attualmente implementati nella vostra azienda? Utilizzate diverse soluzioni di protezione per mitigare i rischi durante tutte le fasi di un attacco? Attualmente, ci sono falle nella sicurezza che utenti malintenzionati potrebbero sfruttare?


1 https://securityintelligence.com/know-your-enemy-understanding-the-motivation-behind-cyberattacks/
2 https://www.av-test.org/en/statistics/malware/
3 https://www.forbes.com/sites/kevinmurnane/2016/07/15/ransomware-as-a-service-being-offered-for-39-on-the-dark-net/#b45e97955a63
4 https://usa.kaspersky.com/resource-center/threats/trojans
5 https://www.veracode.com/security/computer-worm
6 https://heimdalsecurity.com/blog/rootkit/
7 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
8 https://www.gdatasoftware.com/blog/2017/04/29666-malware-trends-2017
9 https://www.forbes.com/sites/jameslyne/2013/09/06/30000-web-sites-hacked-a-day-how-do-you-host-yours/#6d04c3481738
10 https://www.theguardian.com/technology/2016/mar/16/major-sites-new-york-times-bbc-ransomware-malvertising
11 https://www.malwarebytes.com/pdf/labs/Cybercrime-Tactics-and-Techniques-Q1-2017.pdf
12Kruegel, D. C., Rapporto dei laboratori a RSA: Tendenza dominante del malware. Recuperato dalla pagina web http://labs.lastline.com/evasive-malware-gone-mainstream