La storia del malware: un'introduzione all'evoluzione delle minacce informatiche

Il malware, acronimo di "malicious software" (software dannoso), si riferisce a qualsiasi software, codice o programma informatico progettato intenzionalmente per causare danni a un sistema informatico o ai suoi utenti. Praticamente ogni attacco informatico moderno coinvolge qualche tipo di malware. La gravità di questi programmi dannosi può variare da altamente distruttivi e costosi (ransomware) a semplicemente fastidiosi, se non innocui (adware).

Ogni anno, si verificano miliardi di attacchi malware ad aziende e privati. Il malware può infettare qualsiasi tipo di dispositivo o sistema operativo, inclusi Windows, Mac, iPhone e Android.

I criminali informatici sviluppano e utilizzano il malware per:

• tenere in ostaggio dispositivi, dati o reti aziendali per ricavare ingenti somme di denaro;
• ottenere l'accesso non autorizzato a dati riservati o asset digitali;
• sottrarre credenziali di accesso, numeri di carte di credito, proprietà intellettuali, informazioni personalmente identificabili (PII) o altre informazioni preziose;
• interrompere il funzionamento dei sistemi critici su cui fanno affidamento aziende e agenzie governative.

Anche se le parole sono spesso usate in modo intercambiabile, non tutti i tipi di malware sono necessariamente virus. Malware è il termine ombrello che descrive numerosi tipi di minacce, come ad esempio:

Virus: un virus informatico è un programma dannoso che non può replicarsi senza l'interazione umana, facendo clic su un collegamento, scaricando un allegato, avviando un'applicazione specifica o varie altre azioni.

Worm: essenzialmente un virus autoreplicante, i worm non richiedono l'interazione umana per diffondersi, penetrare in profondità nei diversi sistemi informatici e spostarsi tra i dispositivi.

Botnet: una rete di computer infetti controllati da un singolo aggressore noto come «bot-herder» che lavorano insieme all'unisono.

Ransomware: rappresenta uno dei tipi di malware più pericolosi. Gli attacchi ransomware prendono il controllo dei sistemi informatici critici o dei dati sensibili, bloccando gli utenti e richiedendo riscatti esorbitanti in criptovalute, come Bitcoin, in cambio di un nuovo accesso. Il ransomware, ad oggi, rimane uno dei tipi più pericolosi di minacce informatiche. 

Ransomware a estorsione multipla: come se gli attacchi ransomware non fossero abbastanza minacciosi, il ransomware a estorsione multipla aggiunge ulteriori livelli per causare maggiori danni o aumentare la pressione sulle vittime affinché cedano. Nel caso di attacchi ransomware a doppia estorsione, il malware viene utilizzato non solo per crittografare i dati della vittima, ma anche per estrapolare file sensibili, come le informazioni sui clienti, che gli aggressori minacciano di rilasciare pubblicamente. Gli attacchi a tripla estorsione vanno ancora oltre, minacciando di interrompere i sistemi critici o di estendere l'attacco distruttivo ai clienti o ai contatti della vittima. 

Virus macro: le macro sono serie di comandi tipicamente inserite in applicazioni più grandi per automatizzare rapidamente compiti semplici. I virus macro sfruttano le macro programmatiche incorporando un software dannoso nei file di applicazione che verrà eseguito quando l'utente aprirà il programma corrispondente.

Trojan: nome ispirato all'omonimo cavallo di Troia, i trojan si mascherano da programmi utili o si nascondono all'interno di software legittimo per indurre gli utenti a installarli.

Spyware: comune nello spionaggio digitale, lo spyware si nasconde all'interno di un sistema infetto per raccogliere segretamente informazioni sensibili e ritrasmetterle a un aggressore.

Adware: considerato per lo più innocuo, l'adware si trova in genere in bundle con software libero e invia spam agli utenti con popup o altri annunci indesiderati. Tuttavia, alcuni adware potrebbero raccogliere dati personali o reindirizzare i browser a siti web dannosi.

Rootkit: un tipo di pacchetto di malware che consente agli hacker di ottenere un accesso privilegiato di amministratore al sistema operativo di un computer o ad altri asset. 

A causa dell'enorme volume e della varietà, una cronologia completa del malware sarebbe piuttosto lunga. Ecco, invece, alcuni momenti famigerati dell'evoluzione del malware.

Mentre venivano realizzati i primi computer moderni, il pioniere della matematica e collaboratore del Progetto Manhattan, John von Neumann, sviluppava il concetto di un programma in grado di riprodursi e diffondersi in un sistema. Pubblicato postumo nel 1966, il suo lavoro, Theory of Self-Reproducing Automata, funge da base teorica per i virus informatici.

Appena cinque anni dopo la pubblicazione del lavoro teorico di John von Neumann, un programmatore di nome Bob Thomas creò un programma sperimentale chiamato Creeper, progettato per spostarsi tra diversi computer su ARPANET, un precursore di Internet. Il suo collega Ray Tomlinson, considerato l'inventore della posta elettronica, modificò il programma Creeper non solo per spostarsi tra i computer, ma anche per copiare se stesso da uno all'altro. Così è nato il primo worm informatico.

Sebbene Creeper sia il primo esempio noto di worm, in realtà non si tratta di malware. Come prova di concetto, Creeper non è stato realizzato con intenti malevoli e non ha danneggiato o disturbato i sistemi che ha infettato, ma ha mostrato solo un messaggio stravagante: "SONO CREEPER: PRENDIMI SE CI RIESCI". Raccogliendo la sua sfida, nell'anno successivo Tomlinson creò anche Reaper, il primo software antivirus progettato per eliminare Creeper, muovendosi in modo simile attraverso ARPANET.

Sviluppato da Rich Skrenta quando aveva solo 15 anni, il programma Elk Cloner era nato come uno scherzo. Come membro del club informatico del suo liceo, Skranta era noto tra i suoi amici perché modificava giochi e altri software condivisi tra i membri del club, al punto che molti membri si rifiutavano di accettare un disco dal noto burlone.

Nel tentativo di alterare il software dei dischi a cui non poteva accedere direttamente, Skranta ha inventato il primo virus conosciuto per i computer Apple. Quello che ora chiameremmo virus del settore di avvio, Elk Cloner lo ha diffuso infettando il sistema operativo Apple DOS 3.3 e, dopo averlo trasferito da un floppy disk infetto, veniva copiato nella memoria del computer. Quando un disco non infetto veniva inserito successivamente nel computer, Elk Cloner lo copiava su quel disco diffondendolo quindi rapidamente tra la maggior parte degli amici di Skranta. Anche se consapevolmente maligno, Elk Cloner poteva scrivere e cancellare per errore alcuni dischi floppy. Conteneva inoltre un messaggio poetico che diceva:

ELK CLONER:

UN PROGRAMMA CON UNA PERSOLNALITÀ

ARRIVERÀ SU TUTTI I TUOI DISCHI

SI INFILTRERÀ NEI SUOI CHIP

SÌ, È CLONER!

SI ATTACCHERÀ COME UNA COLLA

MODIFICHERÀ ANCHE LA RAM

INVIA IL CLONER!

Mentre il worm Creeper era in grado di spostarsi tra i computer su ARPANET, prima dell'adozione diffusa di Internet la maggior parte del malware veniva trasmesso su floppy disk come nel caso di Elk Cloner. Tuttavia, mentre gli effetti di Elk Cloner rimasero limitati a un piccolo club di computer, il virus Brain si diffuse in tutto il mondo.

Creato dai distributori e fratelli pakistani di software medico, Amjad e Basit Farooq Alvi, Brain è considerato il primo virus per il Personal Computer IBM ed è stato inizialmente sviluppato per prevenire la violazione del copyright. Il virus aveva lo scopo di impedire agli utenti di utilizzare versioni copiate del loro software. Una volta installato, Brain avrebbe visualizzato un messaggio che invitava i pirati a chiamare i fratelli per farsi vaccinare. Sottovalutando quanto fosse diffuso il loro problema di pirateria, gli Alvis hanno ricevuto la prima chiamata dagli Stati Uniti, seguita da molte, molte altre da tutto il mondo.

Il worm Morris è un altro precursore del malware creato non per scopi dolosi, ma come prova di concetto. Sfortunatamente per il suo creatore, lo studente del MIT Robert Morris, il worm si rivelò molto più efficace di quanto avesse previsto. A quel tempo, solo circa 60.000 computer avevano accesso a Internet, per lo più nelle università e all'interno dell'esercito. Progettato per sfruttare una backdoor sui sistemi Unix e per rimanere nascosto, il worm si diffuse rapidamente, copiandosi più e più volte e infettando il 10% di tutti i computer in rete.

Poiché il worm non solo si copiava su altri computer, ma anche ripetutamente su computer infetti, consumava involontariamente memoria e bloccava diversi PC. Essendo il primo attacco informatico diffuso su Internet al mondo, l'incidente ha causato danni che, secondo alcune stime, ammontavano a milioni. Da parte sua, Robert Morris è stato il primo criminale informatico mai condannato per frode informatica negli Stati Uniti.

Sebbene non sia stato dannoso come il worm Morris, circa un decennio dopo Melissa ha dimostrato quanto velocemente il malware potesse diffondersi tramite e-mail, infestando circa un milione di account di posta elettronica e almeno 100.000 computer di lavoro. È stato il worm del suo tempo che si è diffuso più rapidamente, causando gravi sovraccarichi sui server di posta elettronica Microsoft Outlook e Microsoft Exchange, con conseguenti rallentamenti in oltre 300 aziende e agenzie governative, tra cui Microsoft, il Computer Emergency Response Team del Pentagono e circa 250 altre organizzazioni.

Essendo la necessità la madre dell'invenzione, quando Onel de Guzman, 24 anni, residente nelle Filippine, si è trovato incapace di permettersi un servizio internet dialup, ha creato un worm macro virus in grado di rubare le password di altre persone, facendo di ILOVEYOU il primo malware significativo. L'attacco è un primo esempio di ingegneria sociale e phishing. De Guzman ha usato la psicologia per sfruttare la curiosità delle persone e manipolarle per indurle a scaricare allegati e-mail dannosi mascherati da lettere d'amore. "Ho capito che molte persone vogliono un fidanzato, si desiderano a vicenda, vogliono l'amore", ha detto de Guzman. 

Una volta infettato, il worm ha fatto molto di più che rubare le password, ha anche cancellato file e causato milioni di danni, spegnendo persino il sistema informatico del Parlamento del Regno Unito per un breve periodo. Sebbene de Guzman sia stato catturato e arrestato, tutte le accuse sono state ritirate perché in realtà non aveva infranto alcuna legge locale.

Simile ad ILOVEYOU, anche il worm Mydoom utilizzava la posta elettronica per autoreplicarsi e infettare i sistemi di tutto il mondo. Una volta installatosi, Mydoom dirottava il computer di una vittima per inviare via e-mail più copie di se stesso. Sorprendentemente efficace, lo spam di Mydoom rappresentava un tempo il 25% di tutte le e-mail inviate in tutto il mondo, un record che non è mai stato battuto, e ha finito per causare 35 miliardi di dollari di danni. Al netto dell'inflazione, è ancora il malware economicamente più distruttivo mai creato.

Oltre a dirottare i programmi di posta elettronica per infettare il maggior numero possibile di sistemi, Mydoom ha anche utilizzato i computer infetti per creare una botnet e lanciare attacchi DDoS (Distributed Denial-of-Service). Nonostante il suo impatto, i criminali informatici dietro Mydoom non sono mai stati catturati o addirittura identificati.

Identificato per la prima volta nel 2007, Zeus ha infettato i personal computer tramite phishing e drive-by-download e ha dimostrato il potenziale pericoloso di un virus in stile trojan in grado di distribuire molti tipi diversi di software dannoso. Nel 2011, il codice sorgente e il manuale di istruzioni sono trapelati, fornendo dati preziosi sia per i professionisti della cybersecurity che per altri hacker.

CryptoLocker rappresenta uno dei primi casi di ransomware ed è noto per la sua rapida diffusione e le potenti (per l'epoca) funzionalità di crittografia asimmetrica. Distribuito attraverso botnet corrotte catturate dal virus Zeus, CryptoLocker cripta sistematicamente i dati sui PC infetti. Se il PC infetto è un client in una rete locale, ad esempio una biblioteca o un ufficio, tutte le risorse condivise vengono prese di mira per prime.

Per riottenere l'accesso a queste risorse crittografate, i creatori di CryptoLocker hanno chiesto un riscatto di due bitcoin, che all'epoca erano valutati circa 715 USD. Fortunatamente, nel 2014 il Dipartimento di Giustizia, in collaborazione con le agenzie internazionali, è riuscito a prendere il controllo della botnet dannosa e a decriptare gratuitamente i dati degli ostaggi. Sfortunatamente, il programma CyrptoLocker si diffonde anche attraverso attacchi di phishing di base e rimane una minaccia persistente.

Definito il "re del malware" da Arne Schoenbohm, direttore dell'Ufficio tedesco per la sicurezza informatica, il trojan Emotet è un ottimo esempio di malware polimorfico, che rende difficile per gli specialisti della sicurezza informatica eliminarlo completamente. Il malware polimorfico funziona alterando leggermente il proprio codice ogni volta che si riproduce, creando non una copia esatta, ma una variante altrettanto pericolosa. In effetti, è più pericoloso perché i trojan polimorfici sono più difficili da identificare e bloccare per i programmi anti-malware.

Come il trojan Zeus, Emotet persiste come programma modulare utilizzato per fornire altre forme di malware ed è spesso condiviso attraverso attacchi di phishing tradizionali.

Man mano che i computer continuano a evolversi, passando dal desktop, ai laptop, ai dispositivi mobili e a una miriade di dispositivi in rete, aumenta anche il malware. Con l'ascesa dell'Internet of things, i dispositivi intelligenti IoT presentano una nuova ondata di vulnerabilità. Creata dallo studente universitario Paras Jha, la botnet Mirai ha trovato e preso il controllo di un numero enorme di telecamere CCTV, per lo più abilitate all'IoT, con una sicurezza debole.

Inizialmente progettata per prendere di mira i server di gioco per gli attacchi DoS (Denial-of-Service), la botnet Mirai era ancora più potente di quanto Jha avesse previsto. Puntando a un importante provider DNS, ha effettivamente tagliato fuori enormi aree della costa orientale degli Stati Uniti da Internet per quasi un giorno intero.

Sebbene il malware abbia già avuto un ruolo di rilievo nella guerra informatica per molti anni, il 2017 è stato un anno eccezionale per gli attacchi informatici sponsorizzati dallo stato e lo spionaggio virtuale, a partire da un ransomware relativamente insignificante chiamato Petya. Sebbene sia pericoloso, il ransomware Petya si è diffuso tramite phishing e non è stato particolarmente contagioso fino a quando non è stato modificato nel worm di tipo wiper NotPetya, un programma che assomigliava a un ransomware, ma distruggeva i dati degli utenti anche se venivano inviati pagamenti di riscatto. Nello stesso anno si è affermato il worm ransomware WannaCry, che ha colpito una serie di obiettivi di alto profilo in Europa, in particolare nel servizio sanitario nazionale britannico.

Si ritiene che NotPetya sia legato all'intelligence russa, che potrebbe aver modificato il virus Petya per attaccare l'Ucraina, e WannaCry potrebbe essere collegato a settori avversari simili del governo nordcoreano. Cos'hanno in comune questi due attacchi malware? Entrambi sono stati abilitati da un exploit di Microsoft Windows soprannominato Eternalblue, scoperto per la prima volta dalla National Security Agency. Sebbene Microsoft alla fine abbia scoperto e corretto l'exploit in autonomia, ha criticato la NSA per non averlo segnalato prima che gli hacker fossero in grado di capitalizzare sulla vulnerabilità.

Negli ultimi anni, il malware ransomware è sia decollato che diminuito. Tuttavia, nonostante i casi di attacchi ransomware andati a segno siano in calo, gli hacker stanno prendendo di mira obiettivi più importanti e causando danni maggiori. Ora, il ransomware as a service (RaaS) è una tendenza preoccupante che si è affermata negli ultimi anni. Disponibile sui marketplace del dark web, il RaaS fornisce un protocollo plug-and-play in cui gli hacker professionisti conducono attacchi ransomware in cambio di un compenso. Mentre i precedenti attacchi malware richiedevano un certo livello di competenze tecniche avanzate, i gruppi mercenari che offrono RaaS consentono di attivare chiunque abbia cattive intenzioni e denaro da spendere.

Il primo attacco ransomware di alto profilo a doppia estorsione ha avuto luogo nel 2019, quando degli hacker si sono infiltrati nell'agenzia di sicurezza Allied Universal, crittografando simultaneamente i loro dati e minacciando di pubblicare online i dati rubati. Questo livello aggiuntivo significava che, anche se Allied Universal fosse riuscita a decifrare i propri file, avrebbe comunque subito una dannosa violazione dei dati. Sebbene questo attacco sia degno di nota, l'attacco al Colonial Pipeline del 2021 è più famoso per la gravità della minaccia implicita. All'epoca, l'oleodotto coloniale forniva il 45% della benzina e del carburante per aerei della zona orientale degli Stati Uniti. L'attacco, durato diversi giorni, ha avuto ripercussioni sia sul settore pubblico che su quello privato lungo la costa orientale e ha spinto il presidente Biden a dichiarare uno stato di emergenza temporaneo.

Sebbene gli attacchi ransomware possano sembrare in calo, gli attacchi altamente mirati ed efficaci continuano a rappresentare una minaccia gravissima. Nel 2022, la Costa Rica ha subito una serie di attacchi ransomware, che hanno causato in primo luogo la paralisi del Ministero delle Finanze, influenzando di conseguenza anche le imprese civili di import/export. Un successivo attacco ha poi messo fuori uso il sistema sanitario nazionale, colpendo direttamente tutti i cittadini del Paese. Di conseguenza, la Costa Rica è entrata nella storia come il primo Paese a dichiarare lo stato di emergenza nazionale a seguito di un attacco informatico.