Un malware può rappresentare, per le singole persone e per intere organizzazioni, un rischio importante.
Trattasi di software dannosi, che invadono computer, laptop o dispositivi mobili provocando conseguenze inaspettate. Malware, cos’è e come scoprire se si è stati infettati da un virus o da un codice malevolo? Scopriamo tutto quel che c’è da sapere e come proteggersi da queste minacce invisibili.
Cos’è un malware?
Il termine malware deriva dalla fusione tra le parole “maliciuos” e “software”. Questi software dannosi vengono progettati con l’intento di provocare danni a server, computer, reti e navigazioni (pubbliche o private).
Generalmente, gli autori dei malware sono criminal hacker, nella maggior parte dei casi interessati solo al furto dei dati. I criminal hacker utilizzano i malware per rubare dati come credenziali di accesso, numeri di carte di credito o informazioni riservate, traendo profitto dalla loro vendita. Talvolta, il malware viene lanciato da istituzioni criminali con la finalità di minare la sicurezza di governi e organizzazioni, durante operazioni di cyber spionaggio o cyber sabotaggio.
Nessun sistema operativo è al sicuro, né esistono dispositivi completamente immuni dall’attacco di un malware.
Tutti i malware possono raggiungere i loro obiettivi solo se:
- hanno un buon metodo per diffondersi. Potenzialmente, il malware può infettare ogni tipo di dispositivo, dal laptop Apple ai sistemi Android;
- un codice malevolo da depositare.
I malware si differenziano in “sistemi di recapito”, come worm e trojan, e “payload”, come spyware e ransomware.
Le diverse tipologie di malware
Esistono diverse tipologie di malware: alcuni vengono utilizzati per rubare i dati personali degli utenti, altri per danneggiare il sistema, altri ancora per spiare la vittima. I malware possono attaccare un dispositivo e quindi colpire, a cascata, tutti gli altri dispositivi con cui esso comunica.
Non può essere sufficiente installare un unico software antivirus o antimalware: esso non potrà contrastare tutte le minacce e garantire sicurezza e protezione complete. Per rispondere a un attacco, potenzialmente pericoloso anche per interi sistemi informatici, occorre ridurre la vulnerabilità del sistema.
Tra i malware più frequenti vi sono i trojan, i worm, codici e virus informatici complessi. Questi software malevoli, pur appartenendo alla stessa famiglia, agiscono in modo differente seguendo logiche ben precise.
Trojan
I cosiddetti “cavalli di Troia” permettono ai criminal hacker di ottenere l’accesso completo al computer. I trojan si diffondono mediante i sistemi di ingegneria sociale. Rappresentano una delle minacce più diffuse e pericolose, in quanto inducono l’utente a effettuare azioni semplicissime: aprire un file o un collegamento web. Quando l’utente esegue l’azione, installa automaticamente il malware.
In alternativa, gli utenti possono cadere nella trappola dei trojan:
- scaricando un presunto programma antivirus, dietro il quale si cela il codice dannoso;
- sbloccando il download dell’aggiornamento di un software di sistema noto;
- inserendo una chiavetta USB infetta.
Esistono poi i Remote Access Trojan (RAT). Questi malware permettono ai criminal hacker di controllare il computer o il dispositivo da remoto, a volte impedendo all’utente stesso di avere accesso ai propri dati.
Worm
I worm sono malware autoreplicanti che danneggiano file e sistemi operativi, distruggendo intere cartelle di sistema o singoli file.
I worm vedono la luce nei primi anni Settanta: il primo worm, infatti, di tipo sperimentale, si autoreplicava e ha avuto una fittissima diffusione. Negli anni Ottanta, i worm sono divenuti più dannosi e si diffondevano facilmente attraverso i floppy disk. Una volta infettato il sistema, il worm provocava danni seri a tutti i file che riusciva a raggiungere.
Con l’avvento di Internet, gli sviluppatori di malware hanno sfruttato le potenzialità della rete, iniziando quindi a progettare worm capaci di replicarsi tramite Internet.
Exploit
La definizone di exploit è quella di software progettati per sfruttare le vulnerabilità del sistema operativo. La loro finalità è quella di aprire le porte ad altri malware, con lo scopo di avere accesso ai dati e alle applicazioni. Gli exploit permettono al climinal hacker di assumere il controllo del software, costringendolo a compiere operazioni per le quali non era stato progettato. Il codice malware utilizza un exploit per accedere al sistema e per spostarsi all’interno dello stesso.
Spesso gli exploit si diffondono a causa della mancata applicazione regolare delle patch di sicurezza, ma possono anche sfruttare una vulnerabilità critica rimasta incorretta.
Rootkit & bootkit
Un rootkit viene progettato con la finalità di prendere il controllo del sistema, cancellando via via le proprie tracce per non essere individuato. Questo kit di strumenti software si insinua nel computer e sostituisce i classici controlli amministrativi del sistema. I rootkit rimangono nascosti sia all’utente che al sistema operativo. Anche gli altri software non sono in grado di individuarlo. I rootkit permettono al criminal hacker di ottenere i privilegi propri solo all’amministratore del sistema.
I bootkit sono versioni avanzate dei rootkit, in quanto infettano il sistema a livello di kernel. Sono ancora più complessi da individuare e possono garantire all’hacker un livello di controllo maggiore.
Adware
Gli adware sono software dannosi che provocano un ingombro indesiderato dello schermo del computer. A causa di un adware, l’utente sarà costretto a visualizzare messaggi pubblicitari (spesso all’interno delle finestre del browser). Gli adware si presentano come componenti autorizzate, andandosi poi a nascondere in programmi secondari.
Spyware
Lo spyware, simile all’adware, raccoglie le informazioni degli utenti per poi trasmetterle a sistemi esterni. Lo spyware spia ogni attività svolta tramite computer, comunicando il tutto al criminal hacker che lo ha progettato.
Esistono diverse tipologie di spyware, tra cui:
- tracker, in grado di analizzare le attività Internet degli utenti. Sono strumenti di spionaggio molto sofisticati;
- keylogger, che registrano tutto quel che viene digitato sulla tastiera. Questi codici dannosi vengono utilizzati dai criminal hacker per rubare le informazioni sensibili, soprattutto per le password o per i dati delle carte di credito.
Gli spyware non solo spiano l’utente e le sue attività, violando la sua privacy, ma possono rallentare il sistema e la rete Internet.
Botnet
I botnet consentono ai criminal hacker di assumere il controllo dei dispositivi. Questi malware vengono utilizzati per cercare criptovalute, inviare spam oppure effettuare attacchi DDoS (tentativi di bloccare il traffico della rete, provocando scompensi e malfunzionamenti). Tutti i dispositivi privi di un’adeguata protezione, se connessi alla rete, possono essere infettati da un botnet.
In genere i botnet riescono a espandersi lungo una vasta rete di dispositivi. Essendo complessi, possono effettuare altre azioni nocive sia in sequenza che contemporaneamente.
Ransomware
Il ransomware è un malware che riesce a prendere il controllo del computer, chiedendo quindi il pagamento di un riscatto per ripristinare il funzionamento del sistema. I ransomware più frequenti crittografano i file nel sistema, richiedendo un riscatto in Bitcoin e inviando, in cambio, una chiave di decifratura.
Questo malware viene installato generalmente a seguito di un attacco phishing o di clickjacking (il cosiddetto “rapimento del clic”).
Dagli anni Duemila i ransomware rappresentano una delle più gravi e diffuse minacce per la sicurezza informatica.
Cryptominer
I cryptominer sono software pirata che, mediante l’inserimento di un trojan, consentono ai criminal hacker di gestire gli hardware dei computer infettati. Il criminal hacker ha così la possibilità di generare criptovalute e Bitcoin.
I cryptominer, o cryptojacker, rappresentano la tecnica malware emergente utilizzata per la sottrazione delle risorse di elaborazione. Un malware “di tendenza” e sempre più sfruttato dagli hacker con intenzioni fraudolente.
Virus
Spesso i termini malware e virus vengono utilizzati impropriamente: occorre precisare che tutti i virus sono malware, ovvero software dannosi. Mentre non tutti i malware sono virus, ovvero una tipologia specifica di malware in grado di replicarsi e diffondersi autonomamente.
Il virus è un codice che si inserisce in determinati programmi e che, se eseguito dall’utente, può riprodursi e infettare altri programmi o file. I virus si attivano mediante collegamenti infetti, pagine web o a seguito di attacchi phishing. Mettono a soqquadro i sistemi infettati, espandendosi in modo rapido. Sprecano le risorse, attaccano qualsiasi file, inviano spam, distruggono dati. I più pericolosi sono i virus polimorfici, poiché possono modificare autonomamente il proprio codice per non essere rilevati e continuare a infettare il sistema.
Phishing
Il phishing induce gli utenti a scaricare un malware, convincendoli mediante comunicazioni via e-mail, messaggi di testo o interi siti web ingannevoli. Gli attacchi phishing si riferiscono all’ambito dell’ingegneria sociale, in quanto l’utente viene convinto a fornire dati personali, informazioni sensibili (numero del conto corrente, della carta di credito o di altri documenti) o credenziali di accesso.
Mediante una richiesta ingannevole, sotto forma di una e-mail di offerta, l’utente cade nella trappola e subisce un attacco phishing. Questo genere di problema anticipa un attacco malware e rientra, quindi, tra i principali sistemi di recapito attualmente in uso dai criminal hacker.
Come sapere se si è stati infettati
I malware non danneggiano fisicamente il dispositivo: il codice malevolo non sempre si manifesta o è subito visibile. Individuare la presenza di un malware a volte non è affatto semplice: è indispensabile analizzare il comportamento del sistema, rilevando il prima possibile le attività sospette.
Alcuni indizi possono far scattare un campanello d’allarme:
- se, durante il normale funzionamento del computer, appaiono popup e annunci pubblicitari difficili da chiudere;
- se le prestazioni del computer diminuiscono in modo repentino, riducendo la velocità di caricamento sia delle pagine Internet che delle applicazioni;
- quando la homepage del browser risulta modificata, senza l’approvazione dell’utente;
- quando risultano installate estensioni non conosciute o toolbar sul browser di riferimento;
- se non è più possibile aggiornare l’antivirus, che smette improvvisamente di funzionare;
- se il sistema va continuamente in blocco, mostrando schermate di errore;
- se aumenta l’attività di rete senza una ragione plausibile;
- quando l’uso delle risorse risulta spropositato. Una delle conseguenze immediatamente riscontrabili è l’iperattività della ventola, che gira a livelli massimi.
Fortunatamente, in caso di ransomware, i sintomi dell’infezione sono più semplici da riscontrare. In questi casi, infatti, l’attacco è diretto e l’utente vedrà delle schermate che lo mettono al corrente dell’avvenuta infezione. Tramite le schermate, l’utente apprende che qualcuno è riuscito a trafugare i suoi dati e chiede un riscatto per riottenere i file.
Alcuni malware, però, si nascondono talmente in profondità da non essere riconosciuti nemmeno dai più potenti software antivirus. Trattasi, il più delle volte, di malware fileless, “senza file”. Questi malware non risiedono in un file presente nell’hard disk, ma vengono eseguiti della memoria RAM del computer.
Essendo degli artefatti presenti nella memoria del computer, possono agire indisturbati, nascondendoti completamente e senza destare alcun sospetto. Intanto, rubano file sensibili e dati, utilizzando il computer sorgente per infettare altri dispositivi.
Come proteggersi efficacemente dal malware
Una volta scoperto cos’è un malware e quali sono i sintomi dell’infezione, è bene prendere provvedimenti immediati qualora il computer sia stato già infettato. Agire tempestivamente permette di ripulire il sistema dal malware, evitando che le minacce a esso associate non si trasformino in veri e propri danni sensibili.
Per evitare gli attacchi futuri, occorre innanzitutto scegliere software antivirus e antimalware performanti. Ma solo questi software non garantiscono una protezione totale dal rischio di infezione. Il sistema deve essere irrobustito seguendo alcune pratiche cautelative:
- ridurre il numero delle applicazioni, dei sistemi e delle porte collegate a Internet;
- mantenere in continuo aggiornamento il sistema di rilevamento dei virus e dei malware;
- attivare più di un sistema di rilevamento contemporaneamente;
- gestire adeguatamente le patch. Eseguire gli aggiornamenti dei software abbatte il rischio di infezione;
- mantenere sempre il controllo amministrativo, che deve essere concesso solo agli utenti e alle applicazioni necessarie;
- formare gli utenti, affinché sappiano individuare i rischi evitando di scaricare allegati sospetti o di eseguire azioni di dubbia natura;
- mantenere isolati i dati di backup. Solo in questo modo, questi dati potranno essere protetti dal malware. Anche in caso di infezione, si potrà eseguire un backup pulito o il failover, per ridurre i rischi e le minacce legate a un malware;
- crittografare i dati. In questo modo il malware non potrà ottenere dati utili;
- prediligere prodotti di storage software-defined in ambiente cloud ibrido, in caso di aziende e attività di ampio respiro. Queste opzioni permettono di creare backup e di crittografare i file in modo versatile.
I criminal hacker sviluppano costantemente nuove versioni e tipologie di malware, sfruttando le vulnerabilità dei sistemi informatici. Per proteggere il sistema dall’infezione, occorre un’attenzione e un aggiornamento continuo.
