Malware - forma abbreviata di "malicious software", ossia software dannoso - è codice software scritto per danneggiare o distruggere computer o reti o per fornire un accesso non autorizzato a computer, reti o dati per un utilizzo nefasto o criminale. Una qualche forma di malware è alla base di quasi ogni tipo di attacco informatico.

I criminali informatici utilizzano il malware per

• Tenere in ostaggio utenti e organizzazioni esigendo da loro grosse somme di denaro
• Assumere il controllo in remoto non autorizzato dei computer o dei server di altre persone
• Trafugare dati sensibili - conti bancari e numeri di previdenza sociale delle persone, proprietà intellettuale delle aziende e altro ancora - per rubare l'identità, assicurarsi un vantaggio competitivo e altri usi fraudolenti
• Lanciare attacchi paralizzanti ai sistemi di cui si servono aziende, agenzie governative, servizi di utilità pubblica e altre istituzioni

I costi degli attacchi correlati al malware sono enormi. Secondo il Cybercrime Magazine, il costo del danno globale di un solo tipo di malware - il ransomware - è stato di 20 miliardi di dollari nel 2021 e raggiungerà i 265 miliardi di dollari nel 2031 (link esterno a ibm.com).

Un tempo, la maggior parte delle minacce malware era rappresentata da virus di computer, codice che "infetta" un computer e poi diffonde copie di se stesso ad altri computer. Il primo virus di computer in assoluto, chiamato Creeper, si replicò fino a paralizzare il computer riempiendone il disco rigido (lavoro relativamente veloce nel 1971, quando Creeper fece la sua comparsa). I virus successivi disabilitavano i sistemi di computer sovrascrivendo o danneggiando i file del sistema operativo, i file applicativi o i settori di avvio dei dischi.

Oggi il malware si presenta in un'ampia gamma di tipi, ciascuno dei quali è in continua evoluzione per arrecare danni più gravi a computer e reti e per eludere il rilevamento e la correzione a opera degli strumenti di sicurezza e delle tecnologie di protezione da malware. Di seguito sono riportate delle brevi descrizioni di alcuni dei tipi più comuni di malware attualmente in circolazione.

Ransomware

Il ransomware è un malware che blocca il dispositivo di una vittima o ne crittografa i dati, parzialmente o integralmente, ed esige il pagamento di un riscatto, spesso sotto forma di criptovaluta, per sbloccare il dispositivo, decrittografare i dati o evitare che i dati vengano rubati o condivisi. Secondo l'X-Force Threat Intelligence Index del 2022 (PDF, 4,1 MB), quasi tutti gli incidenti ransomware a cui X-Force ha risposto dal 2019 comportavano una "doppia estorsione", minacciando la vittima sia con la crittografia che con il furto dei dati. Gli incidenti ransomware con "tripla estorsione", che minacciano la crittografia e il furto dei dati e in più il lancio di un attacco DDoS (distributed denial of service) (vedi Botnet, di seguito), sono in crescita.

Lo stesso report ha constatato che, nel 2021, gli attacchi ransomware hanno rappresentato il 21% di tutti gli attacchi informatici.

Le vittime e i negoziatori di ransomware sono riluttanti a divulgare gli importi di pagamento dei riscatti. È stato riferito che una compagnia assicurativa globale abbia effettuato, nel mese di maggio del 2021, il più ingente pagamento di ransomware di cui si abbia notizia, pari a 40 milioni di dollari  (link esterno a IBM.com). Le stime degli importi di pagamento medi vanno dall'ordine dei 100.000 dollari a quello dei 300.000 dollari. Ma per molte vittime di ransomware il riscatto è il costo più ridotto. Secondo il report di IBM Cost of a Data Breach del 2021, il costo medio di un attacco ransomware, escluso il riscatto, è stato pari a 4,62 milioni di dollari.

Malware di accesso ai server

Il malware di accesso ai server fornisce agli aggressori un accesso non autorizzato ai server delle applicazioni web. Spesso, il malware di accesso ai server è software legittimo, modificato o utilizzato in modo improprio per gli attacchi informatici; alcuni, ironicamente, sono stati sviluppati originariamente per dimostrare le vulnerabilità di sicurezza di un server o del suo sistema operativo.

I tipi di malware di accesso ai server includono le shell web, che consentono agli aggressori di assumere il comando di un server web tramite un browser web, e i programmi di amministrazione del sistema in remoto come ad esempio Back Orifice, che consente l'amministrazione in remoto di Microsoft Windows su un server o un computer. Gli aggressori utilizzano questo tipo di malware per qualsiasi cosa, dal deturpare o paralizzare i siti web della vittima al furto di credenziali e altri dati sensibili degli utenti. Secondo l'X-Force Threat Intelligence Index del 2022, l'11% di tutti gli incidenti di sicurezza informatica nel 2021 è rappresentato da attacchi di accesso ai server.

Botnet

Tecnicamente, le botnet non sono malware - esse vengono create utilizzando il malware. Una botnet è una rete di dispositivi connessi a Internet e infetti da malware: PC, smartphone, dispositivi IoT (Internet of Things) e altro ancora. Il malware crea una backdoor attraverso la quale l' hacker può controllare i dispositivi in remoto. Gli hacker creano le botnet per lanciare attacchi DDoS (distributed denial of service), attacchi che bombardano una rete obiettivo con una quantità tale di traffico da rallentarla a una frazione della sua velocità o fino ad arrestarla completamente.

Cryptojacker

Un cryptojacker è un malware che assume il controllo in remoto di un dispositivo e lo usa per eseguire il mining di criptovaluta, un'attività estremamente costosa e dispendiosa in termini di calcolo. (Essenzialmente, i cryptojacker creano delle botnet per il mining di criptovaluta). Le criptovalute pagano delle ricompense, solitamente in criptovaluta, alle persone che forniscono potenza di calcolo per il mining. Il cryptojacking consente ai criminali informatici di beneficiare di queste ricompense utilizzando i dispositivi di altre persone.

Malware senza file

Il malware senza file è un malware che opera in memoria e inserisce codice o script nocivi nelle applicazioni legittime. Poiché non lascia una firma - una stringa di byte caratteristica del malware - il malware senza file non può essere identificato e rimosso con il tradizionale software antivirus, ma molte delle soluzioni antivirus di nuova generazione (NGAV) possono rilevarlo.

Altri tipi di malware

• I worm sono codice nocivo che si replica e si diffonde senza l'interazione umana. (Fai il paragone con un virus, che di solito deve essere aperto da un utente inconsapevole prima di potersi duplicare e diffondere).
• I trojan, che prendono il nome dal mitologico Cavallo di Troia, sono un tipo di codice nocivo che si mimetizza come, o si nasconde in, software legittimo e che viene eseguito ogni volta che l'utente si serve di quest'ultimo.
• i rootkit sono pacchetti malware che ottengono l'accesso non autorizzato e privilegiato al sistema operativo o ad altri asset di un computer e che utilizzano tale accesso, o altro software, per "nascondersi" ed evitare di essere rilevati. (Il malware prende il nome dall'account 'root', l'account di amministratore con accesso privilegiato sui sistemi Linux o Unix). I rootkit possono riconfigurare il sistema operativo e altro software sul sistema, compreso il software di sicurezza che potrebbe identificarli e rimuoverli.
• Lo scareware cerca di spaventare gli utenti spingendoli a fare pessime scelte - scaricando malware, passando informazioni personali o sensibili a un truffatore - di solito avvertendo gli utenti, senza che ciò sia vero, che hanno violato la legge, o, ironicamente, che sono stati infettati da un virus. Lo scareware si presenta spesso come un pop-up a schermo che è difficile da chiudere senza spegnere il browser web.
• Lo spyware è proprio quello che dice il nome: malware che si nasconde sul computer infetto, raccoglie informazioni private o sensibili e le ritrasmette all'aggressore. Un tipo di spyware, detto keylogger, può ottenere l'accesso a nomi utente, password, numeri di conto bancario e di carta di credito, numero di previdenza sociale e altre informazioni estremamente sensibili di un utente registrando i tasti premuti dall'utente.
• L'adware visualizza pop-up indesiderati e fastidiosi e pubblicità online agli utenti mentre provano a utilizzare i loro browser web. La maggior parte dell'adware è collegato al software gratuito: quando gli utenti scaricano e installano il software, installano anche l'adware. La maggior parte dell'adware è poco più di un fastidio che altrimenti non causa alcun danno al computer o alla rete obiettivo. Esiste però una classe di adware, denominata malvertising, che utilizza le pubblicità online per inserire codice nocivo nelle pubblicità online e nelle reti pubblicitarie.

Come il malware stesso, i metodi o i percorsi di diffusione di malware,  detti vettori,  sono numerosi e in evoluzione. Tenere traccia di queste tattiche è fondamentale per la prevenzione, il rilevamento e la risposta al malware. Alcuni dei vettori di malware utilizzati più comunemente includono:

• Tentativi di phishing e altre tattiche di ingegneria sociale: i messaggi di phishing - inviati tramite e-mail, messaggistica SMS o app di messaggistica testuale- - sono progettati per manipolare gli utenti spingendoli a scaricare un allegato e-mail nocivo o visitando un sito web nocivo che passa del malware al computer o al dispositivo mobile dell'utente a sua insaputa. I messaggi di phishing sono spesso creati in modo tale da sembrare che provengano da un marchio o da una persona affidabili e spesso provano a evocare paura ("Abbiamo trovato 9 virus sul tuo telefono!"), avidità ("Hai un pagamento non riscosso che ti aspetta!") o urgenza ("Affrettati a chiedere il tuo premio gratuito; resta pochissimo tempo!") per spingere gli utenti a eseguire l'azione desiderata. È una combinazione potente e il phishing è il vettore più comune per diffondere attacchi ransomware e altro malware.
• Vulnerabilità del sistema o del dispositivo: i criminali informatici cercano senza sosta di trovare vulnerabilità non ancora corrette in software, dispositivi e reti che consentano loro di inserire del malware nel software o nel firmware dell'obiettivo. I dispositivi IoT, molti dei quali venduti e implementati con una sicurezza minima se non nulla, rappresentano un vasto e fertile campo in cui i criminali informatici seminano malware.
• Supporti rimovibili: gli utenti non riescono a resistere alla tentazione di utilizzare unità USB "trovate" e i criminali informatici usano a loro vantaggio tale curiosità lasciando penne USB contenenti malware dove gli utenti possono trovarle. Un recente studio ha rilevato che il 37% delle minacce informatiche note è progettato per sfruttare i supporti rimovibili  (link esterno a ibm.com); un altro ha tracciato il 9% degli incidenti di sicurezza che si sono verificati nel mese di gennaio del 2022 a unità USB e altri supporti rimovibili  (link esterno a ibm.com).
• Condivisione di file: le reti di condivisione di file - in particolare quelle in cui gli utenti condividono copie illegali di video o giochi - sono notoriamente un terreno fertile per i criminali informatici, che integrano payload di malware nei download o nei file torrent più diffusi. Il malware però può anche essere integrato in download di software apparentemente legittimi, in particolare quelli gratuiti.

Una protezione dalle minacce malware di successo richiede un approccio completo in tutta l'organizzazione e la partecipazione a tutti i livelli - dai team di sicurezza al personale IT, ai dipendenti e ai business partner. La formazione degli utenti, le politiche di sicurezza e le tecnologie di sicurezza sono tutti elementi che rivestono un ruolo critico.

Formazione degli utenti

Gli utenti sono la prima linea di difesa nello schema di protezione dal malware di un'organizzazione. Oggi la maggior parte delle organizzazioni forma in maniera ufficiale gli utenti a comportarsi in modi che riducono al minimo il rischio di malware e altre minacce alla sicurezza informatica. Le lezioni includono

• Linee guida sui principi di base - ad es. "non aprite allegati e-mail che non stavate aspettando", "non scaricate software il cui uso non è stato esplicitamente autorizzato dal reparto IT".
• Sfatamento dei miti - ad es. "sì, dovete comunque essere vigili circa il malware se utilizzate un dispositivo Apple Mac, Apple iOS o Google Android"
• Corretta prassi di utilizzo delle password - ad es. evitare l'uso di password utili o simili per molteplici accessi
• Tecniche sofisticate - ad es. suggerimenti per identificare le email di phishing che sembrano essere messaggi legittimi inviati da brand affidabili o da dirigenti all'azienda stessa dell'obiettivo.

La maggior parte della formazione alla sicurezza degli utenti finali spiega anche loro le azioni specifiche da intraprendere, incluso chi contattare, in caso di minaccia malware effettiva o sospetta.

Politiche di sicurezza

Le politiche di sicurezza impostano gli standard IT per le tecnologie IT e il comportamento per ridurre al minimo o eliminare il rischio di minacce alla sicurezza informatica. Queste politiche definiscono cose quali il tipo e il livello di crittografia per le e-mail, la lunghezza minima e il contenuto delle password e i privilegi di accesso alla rete.

Le politiche volte specificamente a prevenire il malware potrebbero prevedere dei divieti

• Limitazioni o veri e propri divieti sull'utilizzo di unità USB o altri dispositivi di storage di file rimovibili.
• Un processo di autorizzazione formale per il download di software applicativo non autorizzato dal reparto IT.
• La frequenza con cui è necessario eseguire l'aggiornamento o l'applicazione di patch alle applicazioni e al software di sicurezza.

Tecnologie di sicurezza informatica

Le moderne tecnologie di sicurezza informatica si dividono in due categorie generali.

Gli strumenti di sicurezza preventivi sono progettati per rilevare, isolare ed eliminare le minacce alla sicurezza informatica note o identificabili. Molti di questi - software antivirus (incluso il software di nuova generazione - o NGAV, next-gen antivirus), software anti-malware e di rimozione di malware, i firewall, i filtri URL - sono familiari alla maggior parte degli utenti.

Le tecnologie di rilevamento e risposta sono soluzioni di sicurezza aziendale che aiutano i team di sicurezza a identificare e rispondere in tempi rapidi ai malware e ad altre minacce che eludono gli strumenti preventivi. Queste soluzioni di solito si integrano con strumenti di sicurezza preventiva, feed di intelligence sulle minacce e altre fonti di dati correlati alla sicurezza. Identificano gli indicatori di malware e altre minacce informatiche - detti IOC (indicator of comprimise) - utilizzando analytics avanzata e AI. Consentono anche ai team di sicurezza di automatizzare determinate attività per accelerare la risposta agli incidenti e limitare o evitare i danni che ne derivano.

Alcune delle tecnologie di rilevamento e risposta più comunemente utilizzate includono:

• SOAR (security orchestration, automation and response). SOAR integra e coordina strumenti di sicurezza eterogenei, consentendo ai team di sicurezza di creare dei "playbook" parzialmente o completamente automatizzati per rispondere a minacce potenziali o effettive.
• EDR (endpoint detection and response). EDR raccoglie continuamente dati da tutti gli endpoint sulla rete, inclusi computer desktop e laptop, server, dispositivi mobili, dispositivi IoT e altro ancora. Correla e analizza i dati in tempo reale per cercare eventuali indizi di minacce note o comportamenti sospetti.
• XDR (extended detection and response). XDR è una tecnologia emergente che integra gli strumenti di sicurezza nell'intera infrastruttura IT ibrida di un'organizzazione - non solo endpoint ma anche reti, e-mail, applicazioni, carichi di lavoro cloud e altro ancora - per interagire e coordinarsi nella prevenzione, nel rilevamento e nella risposta alle minacce informatiche. 

Zero Trust descrive un approccio alla sicurezza informatica che presume che il malware e altri attacchi informatici violeranno con successo le difese perimetrali di una rete e, di conseguenza, si focalizza sull'intralciare gli spostamenti degli aggressori nella rete e complicare il raggiungimento dei loro obiettivi dopo che sono "entrati". Le misure di sicurezza informatica correlate a un approccio Zero Trust includono (ma non sono assolutamente limitate a):

• Una politica di accesso con privilegio minimo per gli account utente e amministrativi;
• Microsegmentazione, che comporta la divisione della rete in sottosegmenti con un accesso granulare con privilegio minimo a ciascuno di essi.
• Autenticazione multifattore, che richiede che gli utenti eseguano la verifica della loro identità utilizzando almeno un altro fattore di autenticazione in aggiunta a una password o almeno due altri fattori di identificazione invece di una password.
• Autenticazione adattiva, che richiede che gli utenti forniscano dei fattori di autenticazione aggiuntivi in base ai diversi rischi associati alle diverse richieste - ad es. l'accesso a dati particolarmente sensibili o l'accesso alla rete da una diversa ubicazione o utilizzando un diverso dispositivo.

Una strategia Zero Trust limita strettamente gli utenti all'accesso di cui hanno bisogno per eseguire i loro ruoli e richiede una verifica rinnovata o aggiuntiva ogni volta che richiedono un accesso aggiuntivo. Ciò può ridurre notevolmente l'impatto di ransomware e altro malware che penetra la rete e resta annidato per mesi, provando a ottenere un accesso maggiore ai dati e altre risorse in preparazione di un attacco.