Account Accedi
Illustration of security badge with 1 and 0's and webpapges behind
Vai al paragrafo

Che cos'è il malware?

Copia URL

Il termine malware (malicious software, software dannoso) indica qualunque software che agisca contro l'interesse dell'utente. Oltre al computer o al dispositivo infetto, il malware può colpire anche tutti i dispositivi con cui questo comunica.

Il significato è abbastanza vasto da comprendere dai worm e trojan più semplici ai virus informatici più complessi. Malware, virus e codice dannoso appartengono alla stessa famiglia, ma non sono la stessa cosa, pertanto non basta un solo tipo di software antivirus o antimalware per prevenire tutte le minacce. I malware possono interessare computer desktop, laptop e dispositivi mobili e, in base al sistema operativo in uso (Windows, Android, iOS o Apple MacOS), possono attaccare e manifestarsi in maniera diversa. Non esistono dispositivi totalmente immuni e la maggior parte di essi, che siano professionali o personali, può beneficiare della protezione dai malware.

Misure efficaci di sicurezza IT riducono l'esposizione dell'organizzazione agli attacchi malware. Le procedure tipiche di sicurezza informatica includono la gestione delle patch, per eliminare le vulnerabilità nei sistemi, e il controllo degli accessi, per limitare i danni causati dal malware. Eseguire backup frequenti e isolare i dati dai sistemi di produzione principali consente inoltre un ripristino veloce e sicuro in caso di un'infezione da malware.

Immagina un giorno di lavoro qualsiasi. La mattina arrivi in ufficio, ti siedi alla scrivania e accendi il computer. A quel punto tutto comincia ad andare storto.

Sul tuo schermo, trovi una schermata rossa con un lucchetto e un conto alla rovescia. "I tuoi file sono stati crittografati", dice. "Se non paghi entro 7 giorni, non potrai recuperare i file". Ti guardi intorno. Uno dopo l'altro, i tuoi colleghi vedono lo stesso messaggio sui loro computer. Su tutti i computer.

Questo è lo scenario a cui si sono trovati di fronte i lavoratori di tutto il mondo nel maggio 2017, quando il malware WannaCry ha attaccato aziende, enti pubblici e persino servizi pubblici essenziali, come gli ospedali.

Non tutti gli attacchi da malware si presentano in maniera così eclatante. Sul tuo computer potrebbe essere in esecuzione malware di cui non sospetti nemmeno l'esistenza, ma che rallenta il tuo sistema o viola la tua privacy. In molti casi i criminali informatici progettano questi programmi per eludere il rilevamento ed eseguire azioni evidenti solo in condizioni specifiche.

Anche se impedire un attacco malware non è sempre possibile, puoi ridurre le probabilità che interferisca con le tue operazioni mantenendoti aggiornato e applicando procedure di sicurezza mirate.

Per comprendere le ripercussioni effettive causate dai malware e riuscire a limitare i rischi, è utile suddividere i più comuni nelle varie categorie. Se non si presta la dovuta attenzione, questi tipi di malware possono infiltrarsi ovunque, da un dispositivo mobile Android a un laptop Apple.

Ogni malware, per raggiungere il suo obiettivo, ha bisogno di due componenti: un metodo per diffondersi e il codice dannoso da recapitare. In altre parole, è utile distinguerli in "sistemi di recapito" e "payload". Di seguito viene riportato un riepilogo essenziale di questa struttura e qualche spiegazione più dettagliata.

Sistemi di recapito

Trojan: inganna l'utente per indurlo a installarlo

Worm: si copia da sé


Può essere combinato con:

Exploit: sfrutta una vulnerabilità del software per accedere al sistema e ai dati sensibili

Phishing: inganna l'utente affinché fornisca informazioni che possono essere utilizzate per accedere

Rootkit o bootkit: riesce a ottenere autorizzazioni di accesso amministrative per eludere il rilevamento e acquisire maggior controllo

Payload

Adware: visualizza annunci indesiderati

Botnet: permette a un utente esterno di assumere il controllo del dispositivo

Minatore di criptovaluta: utilizza la potenza di elaborazione per operare sulla criptovaluta

Ransomware: estorce denaro

Spyware: acquisisce dati all'insaputa dell'utente tramite un keylogger o altri strumenti simili

Altri danni: distruzione dei dati, vandalismo, sabotaggio

Trojan

I trojan si propagano attraverso l'ingegneria sociale. Celandosi sotto mentite spoglie, il trojan convince l'utente ignaro a installarlo. Uno dei metodi di attacco più comuni consiste nell'indurre l'utente ad aprire un file o un collegamento web che installa malware. Ad esempio, i trojan come gli scareware possono convincere l'utente che un certo programma protegga il suo computer, mentre in realtà fa l'opposto. 

In altri casi, l'utente può installare una simpatica barra degli strumenti per il browser o una divertente tastiera per emoji, che tuttavia contiene anche malware. Un'altra tecnica utilizzata dai trojan prevede la scrittura di malware di tipo autoinstallante su una chiavetta di memoria USB (o unità USB) da consegnare all'utente. I malware Remote Access Trojan (RAT) consentono ai criminali informatici di controllare i dispositivi da remoto dopo esservisi infiltrati.

Worm

I worm si insinuano in aree a cui non dovrebbero accedere. Il primo worm informatico sperimentale, che si limitava ad autoreplicarsi, è stato introdotto negli anni '70. Negli anni '80 hanno fatto la comparsa worm più dannosi, i primi virus informatici ampiamente conosciuti, che si diffondevano da un PC all'altro attraverso i floppy disk e danneggiavano i file a cui avevano accesso. Con la diffusione di Internet, hacker e sviluppatori di malware hanno iniziato a progettare worm capaci di replicarsi attraverso la rete, che hanno costituito la prima minaccia per la sicurezza delle aziende e degli utenti connessi a Internet.

Exploit

Un exploit è una vulnerabilità del software che può essere utilizzata illegalmente per indurlo a compiere operazioni non previste dalla sua progettazione. Il codice malware potrebbe utilizzare un exploit per entrare in un sistema o per spostarsi all'interno del sistema. Molti exploit si basano su vulnerabilità note (le cosiddette CVE, Common Vulnerabilities and Exposures), sfruttando il fatto che non tutti gli utenti applicano regolarmente le patch di sicurezza ai propri sistemi. Più raramente, un exploit zero day approfitta di una vulnerabilità critica che non è stata corretta dal responsabile della manutenzione del software.

Phishing

Il phishing è un tipo di attacco basato sull'ingegneria sociale nel quale un utente viene indotto a fornire informazioni sensibili o dati personali tramite una richiesta ingannevole, ad esempio una falsa email o un'offerta che in realtà ha lo scopo di truffarlo. Essendo una strategia per ottenere password e credenziali di accesso, gli attacchi di phishing anticipano a volte un attacco malware.

Rootkit e bootkit

Un rootkit è costituito da una serie di strumenti software espressamente progettati per assumere il controllo completo di un sistema e cancellare le proprie tracce. I rootkit sostituiscono efficacemente i normali controlli amministrativi del sistema. Un bootkit è un rootkit avanzato che infetta un sistema a livello di kernel, acquisendo un grado di controllo addirittura superiore, ed è più difficile da rilevare.

Adware e spyware

L'adware ingombra il dispositivo con annunci pubblicitari indesiderati, come pop-up nel browser web. Lo spyware, molto simile all'adware, raccoglie le informazioni dell'utente e le trasmette ad altri sistemi. Le tipologie di spyware possono variare dai tracker, che monitorano l'attività Internet dell'utente, a sofisticati strumenti di spionaggio. Tra gli spyware ci sono i keylogger, strumenti in grado di registrare tutto ciò che viene digitato sulla tastiera. Sia spyware che adware non solo violano la privacy dell'utente, ma possono anche rallentare il sistema e congestionare la rete.

Botnet

I botnet consentono a un utente esterno di assumere il controllo del dispositivo, che entra a fare parte di una vasta rete di dispositivi infetti. Solitamente i botnet vengono utilizzati per sferrare attacchi DDoS (Distributed Denial of Service), inviare spam o cercare criptovaluta. Qualunque dispositivo non protetto connesso in rete può essere vulnerabile a un'infezione. I botnet dispongono in genere di strumenti per espandere la propria rete di dispositivi e sono abbastanza complessi da eseguire varie attività nocive, contemporaneamente o in sequenza. Ad esempio il malware Mirai, nell'attacco del 2016, ha utilizzato webcam connesse a Internet e router domestici per formare un enorme botnet DDoS.

Ransomware

Il ransomware è un codice malware che esige un pagamento. Molti dei tipi di ransomware più comuni crittografano i file nel sistema di un utente ed estorcono il pagamento di un riscatto in Bitcoin in cambio di una chiave di decifratura. Il ransomware è venuto alla ribalta a metà degli anni 2000 ed è rimasto da allora una delle minacce più gravi e diffuse alla sicurezza informatica. 

Altri danni

A volte, lo sviluppatore o l'operatore di malware ha lo scopo di distruggere dati o danneggiare componenti o servizi. Molti anni prima che il ransomware diventasse un problema, uno dei primi programmi malware ad attirare l'attenzione dei media è stato il virus Michelangelo, nel 1992, che tentava di sovrascrivere l'unità disco del PC infetto in una data specifica, il 6 marzo. Alcuni anni dopo, nel 2000, il virus ILOVEYOU si è diffuso da un utente all'altro sotto forma di script Visual Basic inviato come allegato email. Quando veniva eseguito, questo virus cancellava diversi file e inviava una copia di sé stesso per email a tutti i contatti nella rubrica dell'utente.

Rispetto agli standard del malware moderno, questi virus sembrano addirittura ingenui. Prendiamo come esempio Stuxnet. Nel 2010 la security community ha scoperto un worm enigmatico e altamente sofisticato, progettato per manomettere un tipo specifico di apparecchiatura industriale. Molti esperti di sicurezza oggi ritengono che Stuxnet sia stato progettato dai governi di Stati Uniti e Israele per sabotare il programma nucleare iraniano, sebbene nessun governo se ne sia assunto ufficialmente la responsabilità. Se tale ipotesi fosse vera, questo sarebbe un esempio di malware emergente, ovvero un tipo di attacco informatico sponsorizzato da uno stato.

Il modo migliore per difendersi dal malware consiste nell'evitare completamente l'infezione. Software antivirus o antimalware sono utili, ma oggi per migliorare la resilienza dei propri sistemi è possibile adottare altre misure.

Riduzione dell'esposizione agli attacchi malware

Riduci al minimo il numero di sistemi, applicazioni e porte esposti a Internet.

Formazione degli utenti

Gli utenti devono imparare a sospettare dei collegamenti e degli allegati contenuti nei messaggi e-mail, anche se sembrano autentici. La mancanza di consapevolezza può portare ad un errato utilizzo o condivisione di dati e aprire le porte ad attacchi malware.

Rilevamento

Prima si rileva un'infezione, più rapidamente si può eliminare il malware e ripulire il sistema infetto. Ricorda che alcuni tipi di malware sono progettati per nascondersi. Gli strumenti antivirus o antimalware richiedono l'aggiornamento regolare delle firme di rilevamento dei virus ed è consigliabile mantenere in funzione più metodi di rilevamento del malware contemporaneamente.

Gestione delle patch

Poiché i responsabili della manutenzione del software rilasciano tempestivamente le patch necessarie per eliminare le vulnerabilità di sicurezza, l'esecuzione di un software aggiornato riduce il rischio di infezione da malware. Una gestione efficace delle patch implica l'applicazione puntuale delle patch di sicurezza a tutti i sistemi dell'azienda. Verifica di frequente la disponibilità degli aggiornamenti e applicali per proteggerti dagli exploit conosciuti.

Controllo degli accessi

Il controllo amministrativo dovrebbe essere limitato alle applicazioni e agli utenti che ne hanno effettivamente bisogno. In questo modo, in caso di attacco al computer, il malware farà molta più fatica a infettare le funzioni di base del sistema. Esamina regolarmente i controlli amministrativi.

Backup e crittografia di dati

Una protezione adeguata dei dati può fare una differenza enorme durante un attacco malware. Se si verifica lo scenario peggiore e il malware entra nel sistema, è possibile eseguire il failover a un backup pulito creato prima dell'infezione. In parole povere, si tratta di mantenere isolati i dati di backup per evitare che vengano cancellati o danneggiati dal malware. È inoltre consigliabile crittografare sempre i dati, di modo che le eventuali informazioni sottratte dal malware risultino inutilizzabili. Nella pratica, l'adozione di una o più strategie di protezione dipende dalle dimensioni e dalla complessità dell'organizzazione. Scegliere un prodotto di storage software-defined in un ambiente cloud ibrido può essere la soluzione più indicata per le aziende di grandi dimensioni, poiché offre una scelta estremamente flessibile di opzioni per backup e crittografia.

Tutti i sistemi informatici presentano vulnerabilità, e gli sviluppatori di malware le cercano e le sfruttano in modo sistematico e costante. La protezione dal malware è pertanto un problema in continua evoluzione.

La guida Red Hat alla tecnologia di sicurezza IT offre maggiori informazioni sui processi, sulle policy e sulle procedure da applicare.

Keep reading

ARTICOLO

Cos'è la metodologia DevSecOps?

Per sfruttare tutta l'agilità e la reattività di un approccio DevOps, occorre tenere conto anche di un altro elemento cruciale dell'intero ciclo di vita delle tue applicazioni: la sicurezza IT.

ARTICOLO

La sicurezza nel cloud

I problemi di sicurezza hanno un impatto sia sui sistemi IT tradizionali che su quelli cloud. Scopri perché la sicurezza nel cloud è differente.

ARTICOLO

Cosa si intende con SOAR?

L'acronimo SOAR indica 3 capacità chiave utilizzate dai team che si occupano di sicurezza: gestione dei casi e dei flussi di lavoro, automazione delle attività e sistema centralizzato di accesso, query e condivisione dei dati di intelligence sulle minacce.

Scopri di più sulla sicurezza

Prodotti

Red Hat Certificate System

Un framework di sicurezza progettato per gestire le identità utente e garantire la privacy delle comunicazioni.

Red Hat Advanced Cluster Security Kubernetes

Una soluzione, Kubernetes native ed enterprise ready, per la sicurezza dei container che permette di creare, distribuire ed eseguire applicazioni cloud native in modo più sicuro.

Red Hat Insights

Un servizio di analisi predittiva per identificare e contrastare le minacce a sicurezza, prestazioni e disponibilità della tua infrastruttura Red Hat.

Red Hat Advanced Cluster Management Kubernetes

Una soluzione che permette di controllare cluster e applicazioni Kubernetes da una singola console dotata di criteri di sicurezza integrati.

Risorse

Illustration - mail

Ricevi contenuti simili

Iscriviti a Red Hat Shares, la nostra newsletter gratuita.

Red Hat logo LinkedInYouTubeFacebookTwitter

Prodotti

Strumenti

Provare, acquistare, vendere

Comunica

Informazioni su Red Hat

Red Hat è leader mondiale nella fornitura di soluzioni open source per le aziende, tra cui Linux, Kubernetes, container e soluzioni cloud. Le nostre soluzioni open source, rese sicure per un uso aziendale, consentono di operare su più piattaforme e ambienti, dal datacenter centrale all'edge della rete.

Ricevi la nostra newsletter, Red Hat Shares

Iscriviti subito

Seleziona la tua lingua

© 2022 Red Hat, Inc. Red Hat Summit