Panoramica
Il termine malware (malicious software, software dannoso) indica qualunque software che agisca contro l'interesse dell'utente. Il malware, oltre al computer o al dispositivo infetto, può colpire anche tutti i dispositivi con cui comunica il sistema contenente il virus.
Il significato è abbastanza vasto da comprendere dai worm e trojan più semplici ai virus informatici più complessi. Malware, virus e codice dannoso appartengono alla stessa famiglia, ma non sono la stessa cosa, pertanto non basta un solo tipo di software antivirus o antimalware per prevenire tutte le minacce. I malware possono interessare computer desktop, laptop e dispositivi mobili e, in base al sistema operativo in uso (Windows, Android, iOS o Apple MacOS), possono attaccare e manifestarsi in maniera diversa. Non esistono dispositivi totalmente immuni e la maggior parte di essi, che siano professionali o personali, può beneficiare della protezione dai malware.
Misure efficaci di sicurezza IT riducono l'esposizione dell'organizzazione agli attacchi malware. Le procedure tipiche di sicurezza informatica includono la gestione delle patch, per eliminare le vulnerabilità nei sistemi, e il controllo degli accessi, per limitare i danni causati dal malware. Eseguire backup frequenti e isolare i dati dai sistemi di produzione principali consente inoltre un ripristino veloce e sicuro in caso di un'infezione da malware.
Malware e sicurezza informatica
Immagina un giorno di lavoro qualsiasi. La mattina arrivi in ufficio, ti siedi alla scrivania e accendi il computer. A quel punto tutto comincia ad andare storto.
Sul tuo schermo, trovi una schermata rossa con un lucchetto e un conto alla rovescia. "I tuoi file sono stati crittografati", dice. "Se non paghi entro 7 giorni, non potrai recuperare i file". Ti guardi intorno. Uno dopo l'altro, i tuoi colleghi vedono lo stesso messaggio sui loro computer. Su tutti i computer.
Questo è lo scenario a cui si sono trovati di fronte i lavoratori di tutto il mondo nel maggio 2017, quando il malware WannaCry ha attaccato aziende, enti pubblici e persino servizi pubblici essenziali, come gli ospedali.
Non tutti gli attacchi da malware si presentano in maniera così eclatante. Sul tuo computer potrebbero essere in esecuzione programmi dannosi di cui non sospetti nemmeno l'esistenza, ma che rallentano il tuo sistema o violano la tua privacy. In molti casi i criminali informatici progettano questi programmi per eludere il rilevamento ed eseguono azioni evidenti solo in condizioni specifiche.
Anche se impedire un attacco malware non è sempre possibile, puoi ridurre le probabilità che interferisca con le tue operazioni tenendoti sempre al corrente con le ultime novità e applicando procedure di sicurezza mirate.
Tipi di malware
Per comprendere le ripercussioni effettive causate dai malware e riuscire a limitare i rischi, è utile suddividere i più comuni nelle varie categorie. Se non si presta la dovuta attenzione, questi tipi di malware possono infiltrarsi ovunque, da un dispositivo mobile Android a un laptop Apple.
Ogni malware, per raggiungere il suo obiettivo, ha bisogno di due componenti: un metodo per diffondersi e il codice dannoso da recapitare. Può essere utile distinguere i malware in "sistemi di recapito" e "payload". Di seguito viene riportato un riepilogo essenziale di questa struttura e qualche spiegazione più dettagliata.
Sistemi di recapito
Trojan: inganna l'utente per indurlo a installarlo
Worm: si copia da sé
Può essere combinato con:
Exploit: sfrutta una vulnerabilità del software per accedere al sistema e ai dati sensibili
Phishing: inganna l'utente affinché fornisca informazioni che possono essere utilizzate per accedere
Rootkit o bootkit: riesce a ottenere autorizzazioni di accesso amministrative per eludere il rilevamento e acquisire maggior controllo
Payload
Adware: visualizza annunci indesiderati
Botnet: permette a un utente esterno di assumere il controllo del dispositivo
Minatore di criptovaluta: utilizza la potenza di elaborazione per operare sulla criptovaluta
Ransomware: estorce denaro
Spyware: acquisisce dati all'insaputa dell'utente tramite un keylogger o altri strumenti simili
Altri danni: distruzione dei dati, vandalismo, sabotaggio
Trojan
I trojan sono file eseguibili che si propagano attraverso l'ingegneria sociale. Celandosi sotto mentite spoglie, il trojan convince l'utente ignaro a installarlo e aprirlo. Uno dei metodi di attacco più comuni consiste nell'indurre l'utente ad aprire un file o un collegamento web che installa malware. Ad esempio, i trojan come gli scareware possono convincere l'utente che un certo programma protegga il suo computer, mentre in realtà fa l'opposto.
In altri casi, l'utente può installare una simpatica barra degli strumenti per il browser o una divertente tastiera per emoji, che tuttavia contiene anche malware. Un'altra tecnica utilizzata dai trojan prevede la scrittura di malware di tipo autoinstallante su una chiavetta di memoria USB (o unità USB) da consegnare all'utente. I malware Remote Access Trojan (RAT) consentono ai criminali informatici di controllare i dispositivi da remoto dopo esservisi infiltrati.
Worm
I worm si insinuano in aree a cui non dovrebbero accedere. Il primo worm informatico sperimentale, che si limitava ad autoreplicarsi, è stato introdotto negli anni '70. Negli anni '80 hanno fatto la comparsa worm autoreplicanti più dannosi. Questi sono diventanti i primi virus informatici ampiamente conosciuti, e si diffondevano da un PC all'altro attraverso file infetti sui floppy disk danneggiando i file a cui avevano accesso. Con la diffusione di Internet, hacker e sviluppatori di malware hanno iniziato a progettare worm capaci di replicarsi attraverso la rete, che hanno costituito la prima minaccia per la sicurezza delle aziende e degli utenti connessi a Internet.
Exploit
Un exploit è una vulnerabilità del software che può essere utilizzata illegalmente per indurlo a compiere operazioni non previste dalla sua progettazione. Il codice malware potrebbe utilizzare un exploit per entrare in un sistema o per spostarsi all'interno del sistema. Molti exploit si basano su vulnerabilità note (le cosiddette CVE, Common Vulnerabilities and Exposures), sfruttando il fatto che non tutti gli utenti applicano regolarmente le patch di sicurezza ai propri sistemi. Più raramente, un exploit zero day approfitta di una vulnerabilità critica che non è stata corretta dal responsabile della manutenzione del software.
Phishing
Il phishing è un tipo di attacco basato sull'ingegneria sociale nel quale un utente viene indotto a fornire informazioni sensibili o dati personali tramite una richiesta ingannevole, ad esempio una falsa email o un'offerta che in realtà ha lo scopo di truffarlo. Essendo una strategia per ottenere password e credenziali di accesso o commettere furti di identità, gli attacchi di phishing anticipano a volte un attacco malware.
Rootkit e bootkit
Un rootkit è costituito da una serie di strumenti software espressamente progettati per assumere il controllo completo di un sistema e cancellare le proprie tracce. I rootkit sostituiscono efficacemente i normali controlli amministrativi del sistema. Un bootkit è un rootkit avanzato che infetta un sistema a livello di kernel, acquisendo un grado di controllo addirittura superiore, ed è più difficile da rilevare.
Adware e spyware
L'adware ingombra il dispositivo con annunci pubblicitari indesiderati, come pop-up nel browser web. Lo spyware, molto simile all'adware, raccoglie le informazioni dell'utente e le trasmette ad altri sistemi. Le tipologie di spyware possono variare dai tracker, che monitorano l'attività Internet dell'utente, a sofisticati strumenti di spionaggio. Tra gli spyware ci sono i keylogger, strumenti in grado di registrare tutto ciò che viene digitato sulla tastiera. Sia spyware che adware non solo violano la privacy dell'utente, ma possono anche rallentare il sistema e congestionare la rete. Sebbene i computer con sistema operativo Windows siano i principali obiettivi dei criminali informatici, chi utilizza macOS rischia allo stesso modo di essere vittima di attacchi commessi tramite annunci pop up e programmi potenzialmente indesiderati.
Botnet
I botnet consentono a un utente esterno di assumere il controllo del dispositivo, che entra a fare parte di una vasta rete di dispositivi infetti. Solitamente i botnet vengono utilizzati per sferrare attacchi DDoS (Distributed Denial of Service), inviare spam o cercare criptovaluta. Qualunque dispositivo non protetto connesso in rete può essere vulnerabile a un'infezione. I botnet dispongono in genere di strumenti per espandere la propria rete di dispositivi e sono abbastanza complessi da eseguire varie attività nocive, contemporaneamente o in sequenza. Ad esempio il malware Mirai, nell'attacco del 2016, ha utilizzato webcam connesse a Internet e router domestici per formare un enorme botnet DDoS.
Ransomware
Il ransomware è un codice malware che esige un pagamento. Molti dei tipi di ransomware più comuni crittografano i file nel sistema di un utente ed estorcono il pagamento di un riscatto in Bitcoin in cambio di una chiave di decifratura. Il ransomware è venuto alla ribalta a metà degli anni 2000 ed è rimasto da allora una delle minacce più gravi e diffuse alla sicurezza informatica.
Smishing
Lo smishing, o phishing tramite SMS, è un tipo di malware relativamente recente in cui gli scammer inviano link infetti tramite messaggi di testo, con cui gli utenti possono scaricare malware che sembrano app. Spesso questi messaggi sembrano essere stati inviati da istituiti finanziari, aziende governative o team di assistenza clienti, e questo può indurre gli utenti a condividere password, dati della carta di credito o altre informazioni personali.
Altri danni
A volte, lo sviluppatore o l'operatore di malware ha lo scopo di distruggere dati o danneggiare componenti o servizi. Molti anni prima che il ransomware diventasse un problema, uno dei primi programmi malware ad attirare l'attenzione dei media è stato il virus Michelangelo, nel 1992, che tentava di sovrascrivere l'unità disco del PC infetto in una data specifica, il 6 marzo. Alcuni anni dopo, nel 2000, il virus ILOVEYOU si è diffuso da un utente all'altro sotto forma di script Visual Basic inviato come allegato email. Quando veniva eseguito, questo virus cancellava diversi file e inviava una copia di sé stesso per email a tutti i contatti nella rubrica dell'utente.
Rispetto agli standard del malware moderno, questi virus sembrano addirittura ingenui. Prendiamo come esempio Stuxnet. Nel 2010 la security community ha scoperto un worm enigmatico e altamente sofisticato, progettato per manomettere un tipo specifico di apparecchiatura industriale. Molti esperti di sicurezza oggi ritengono che Stuxnet sia stato progettato dai governi di Stati Uniti e Israele per sabotare il programma nucleare iraniano, sebbene nessun governo se ne sia assunto ufficialmente la responsabilità. Se tale ipotesi fosse vera, questo sarebbe un nuovo esempio di malware: un attacco informatico sponsorizzato da uno stato.
Quali misure antimalware è possibile adottare?
Il modo migliore per difendersi dal malware consiste nell'evitare completamente l'infezione. I software antivirus o antimalware sono utili, ma oggi per migliorare la resilienza dei propri sistemi è possibile adottare altre misure di sicurezza.
Adozione di un'architettura con modello di sicurezza zero trust
Per decenni le aziende hanno avuto a disposizione una rete interna o attendibile, separata dal mondo esterno da un perimetro di firewall e altre misure di difesa della sicurezza. Le persone o gli endpoint entro il perimetro, o connessi tramite metodi remoti come la VPN, godevano di un livello di attendibilità più elevato rispetto a chi era esterno al perimetro. Con questo tipo di struttura, i criminali informatici che riuscivano a superare il perimetro di sicurezza avevano poi facile accesso alla rete aziendale. Per gestire le vulnerabilità, le aziende iniziano a passare a un modello ZTNA (Zero Trust Network Access), che segmenta l'accesso e limita le autorizzazioni utente ad applicazioni e servizi specifici.
Riduzione dell'esposizione agli attacchi malware
Riduci al minimo il numero di sistemi, applicazioni e porte esposti a Internet.
Formazione degli utenti
Gli utenti devono imparare a sospettare dei collegamenti e degli allegati contenuti nei messaggi e-mail, anche se sembrano autentici. La mancanza di consapevolezza può portare ad un errato utilizzo o condivisione di dati e aprire le porte ad attacchi malware.
Rilevamento
Prima si rileva un'infezione, più rapidamente si può eliminare il malware e ripulire il sistema infetto. Ricorda che alcuni tipi di malware sono progettati per nascondersi. Gli strumenti antivirus o antimalware richiedono l'aggiornamento regolare delle firme di rilevamento per monitorare le varianti più recenti. Inoltre, è consigliabile mantenere in funzione più metodi di rilevamento del malware contemporaneamente.
Gestione delle patch
Poiché i responsabili della manutenzione del software rilasciano tempestivamente le patch necessarie per eliminare le vulnerabilità di sicurezza, l'esecuzione di un software recente (e l'aggiornamento periodico dell'intero sistema) riduce il rischio di infezione da malware. Una gestione efficace delle patch implica l'applicazione puntuale delle patch di sicurezza a tutti i sistemi dell'azienda. Verifica di frequente la disponibilità degli aggiornamenti e applicali per proteggerti dagli exploit conosciuti.
Controllo degli accessi
Il controllo amministrativo dovrebbe essere limitato alle applicazioni e agli utenti che ne hanno effettivamente bisogno. In questo modo, in caso di attacco al computer, il malware farà molta più fatica a infettare le funzioni di base del sistema. Esamina regolarmente i controlli amministrativi. Dove è possibile, richiedi l'autentificazione a più fattori per rendere sicuro l'accesso.
Backup e crittografia di dati
Una protezione adeguata dei dati può fare una differenza enorme durante un attacco malware. Se si verifica lo scenario peggiore e il malware entra nel sistema, è possibile eseguire il failover a un backup pulito creato prima dell'infezione. In parole povere, si tratta di mantenere isolati i dati di backup per evitare che vengano cancellati o danneggiati dal malware. È inoltre consigliabile crittografare sempre i dati, di modo che le eventuali informazioni sottratte dal malware risultino inutilizzabili. Nella pratica, l'adozione di una o più strategie di protezione dipende dalle dimensioni e dalla complessità dell'organizzazione. Scegliere un prodotto di storage software defined in un ambiente cloud ibrido può essere la soluzione più indicata per le aziende di grandi dimensioni, poiché offre una scelta estremamente flessibile di opzioni per backup e crittografia.
Tutti i sistemi informatici presentano vulnerabilità, e gli sviluppatori di malware le cercano e le sfruttano in modo sistematico e costante. La protezione dal malware è pertanto un problema in continua evoluzione.
La guida Red Hat alla tecnologia di sicurezza IT offre maggiori informazioni sui processi, sulle policy e sulle procedure da applicare.