Un software dannoso, o malware, è un qualsiasi codice software o programma informatico, inclusi ransomware, Trojan horse e spyware, scritto intenzionalmente per danneggiare i sistemi informatici o i loro utenti.
Quasi tutti gli attacchi informatici moderni coinvolgono qualche tipo di malware. A seconda dell'obiettivo dei criminali informatici, questi programmi dannosi possono assumere molte forme, dai ransomware altamente dannosi e costosi ai semplici e fastidiosi adware.
I criminali informatici sviluppano e utilizzano il malware per:
- Tenere in ostaggio dispositivi, dati o intere reti aziendali per ricavare ingenti somme di denaro.
- Ottenere l'accesso non autorizzato a dati riservati o asset digitali.
- Sottrarre credenziali di accesso, numeri di carte di credito, proprietà intellettuali o altre informazioni preziose.
- Interrompere il funzionamento dei sistemi critici su cui fanno affidamento aziende e agenzie governative.
Ogni anno si verificano miliardi di attacchi malware (link esterno a ibm.com) e le relative infezioni possono colpire qualsiasi dispositivo o sistema operativo. Anche i sistemi Windows, Mac, iOS e Android.
Sempre più spesso, gli attacchi malware prendono di mira le aziende anziché i singoli utenti perché gli hacker hanno imparato che è più redditizio colpire le organizzazioni. Le aziende spesso conservano quantità significative di dati personali e gli hacker sfruttano questo fatto per estorcere loro grandi somme di denaro. Gli hacker possono utilizzare questi dati personali per il furto di identità o venderli sul dark web.
Acquisisci le informazioni necessarie per prevenire e reagire ai cyberattacchi con maggiore velocità ed efficacia con IBM Security X-Force Threat Intelligence Index.
Registrati per il report Cost of a Data Breach
La criminalità informatica è un'industria enorme. Secondo una stima (link esterno a ibm.com), sarebbe la terza economia più grande del mondo dopo Stati Uniti e Cina, con un costo stimato di 10,5 trilioni di dollari entro il 2025.
In questo settore, gli hacker sviluppano costantemente nuovi ceppi di malware con caratteristiche e funzionalità sempre diversi. Questi singoli ceppi di malware generano nel tempo nuove varianti per eludere meglio i software di sicurezza. Si stima (link esterno a ibm.com) che a partire dagli anni '80 siano stati creati più di un miliardo di ceppi e varianti di malware diversi, il che rende difficile per i professionisti della cybersecurity rimanere al passo.
Gli hacker spesso condividono il proprio malware rendendo il codice open source oppure vendendolo ad altri criminali. Gli accordi malware-as-a-service sono diffusi tra gli sviluppatori di ransomware: persino i criminali con poca esperienza tecnica possono raccogliere i profitti della criminalità informatica.
Nonostante il panorama sia in continua evoluzione, i ceppi di malware possono essere classificati in base ad alcuni tipi comuni.
I termini "malware" e "virus informatico" sono spesso utilizzati come sinonimi, ma un virus è tecnicamente un particolare tipo di malware. Nello specifico, un virus è un codice nocivo che prende il controllo di un software legittimo causando danni, creando copie di se stesso e diffondendosi.
I virus non possono agire da soli. Al contrario, nascondono frammenti del proprio codice in altri programmi eseguibili. Quando un utente avvia il programma, anche il virus si attiva. I virus sono generalmente progettati per eliminare dati importanti, interrompere le normali operazioni, creare copie di se stessi e diffondersi in altri programmi sul computer infetto.
La maggior parte delle prime minacce malware erano virus. Elk Cloner, forse il primo malware a diffondersi attraverso le unità pubbliche, era un virus che prendeva di mira i computer Apple.
Una botnet è una rete di dispositivi connessi a Internet e infettati da malware sotto il controllo di un hacker. Le botnet possono includere PC, dispositivi mobili, dispositivi Internet delle cose (IoT) e altro ancora. Spesso le vittime non si rendono conto se i propri dispositivi fanno parte di una botnet. Molte volte gli hacker utilizzano le botnet per lanciare attacchi DDoS, che bombardano una rete selezionata con così tanto traffico da rallentarla o bloccarla completamente.
Nel 2016 Mirai, una delle botnet più conosciute, è stata responsabile di un massiccio attacco contro il provider di Domain Name System Dyn. Questo attacco ha bloccato siti web popolari come Twitter e Reddit per milioni di utenti negli Stati Uniti e in Europa (link esterno a ibm.com).
Un cryptojacker è un malware che prende il controllo di un dispositivo e lo utilizza per estrarre criptovalute, come i bitcoin, all'insaputa del proprietario. In sostanza, i cryptojacker creano botnet di cryptomining.
Il mining di criptovalute è un'attività estremamente complessa e dispendiosa. I criminali informatici traggono profitto mentre gli utenti dei computer infetti devono far fronte a rallentamenti delle prestazioni e interruzioni anomale. I cryptojacker spesso prendono di mira le infrastrutture cloud aziendali, consentendo loro di eseguire il marshalling di più risorse per il cryptomining rispetto ai singoli computer.
Il malware fileless è un tipo di attacco che sfrutta le vulnerabilità di programmi software legittimi, come browser web ed elaboratori di testo, per immettere il codice nocivo direttamente nella memoria del computer. Il codice viene eseguito in memoria, quindi non lascia tracce sul disco rigido, e poiché sfrutta un software legittimo, spesso sfugge al rilevamento.
Molti attacchi di malware fileless utilizzano PowerShell, un'interfaccia a riga di comando e uno strumento di script integrati nel sistema operativo Microsoft Windows. Gli hacker possono eseguire script con PowerShell per modificare le configurazioni, sottrarre le password o causare altri danni.
Le macro dannose sono un altro vettore comune degli attacchi fileless. App come Microsoft Word ed Excel consentono agli utenti di definire macro, serie di comandi che automatizzano attività semplici, per esempio la formattazione del testo o l'esecuzione di calcoli In queste macro, gli hacker possono memorizzare script malevoli, che vengono eseguiti automaticamente quando un utente apre il file.
I worm sono programmi dannosi autoreplicanti che possono diffondersi tra app e dispositivi senza l'interazione umana (a differenza dei virus, che possono diffondersi solo se un utente avvia un programma compromesso). Alcuni worm si limitano a diffondersi, altri, invece, hanno conseguenze più gravi. Ad esempio, il ransomware WannaCry, che ha causato danni stimati per 4 miliardi di dollari, era un worm che massimizzava il proprio impatto diffondendosi automaticamente tra i dispositivi connessi.
I Trojan horse si mascherano da programmi utili o si nascondono all'interno di software legittimi per indurre gli utenti a installarli. Un Trojan di accesso remoto, o "RAT", crea una backdoor segreta sul dispositivo infetto. Un altro tipo di Trojan, chiamato "dropper", installa un ulteriore malware una volta che ha acquisito un punto d'appoggio. Ryuk, uno dei ceppi di ransomware recenti più devastanti, ha utilizzato il Trojan Emotet per infettare i dispositivi.
I rootkit sono pacchetti di malware che consentono agli hacker di ottenere un accesso privilegiato a livello di amministratore al sistema operativo o ad altri asset di un computer. Gli hacker possono quindi utilizzare queste autorizzazioni di alto livello per fare praticamente tutto ciò che vogliono, come aggiungere e rimuovere utenti o riconfigurare app. Gli hacker utilizzano spesso i rootkit per nascondere processi dannosi o disabilitare i software di sicurezza che potrebbero rilevarli.
Lo scareware spaventa gli utenti convincendoli a scaricare malware o a condividere informazioni sensibili con un truffatore. Lo scareware appare spesso come un improvviso popup con un messaggio urgente, di solito avvertendo l'utente che ha commesso un'infrazione o che il dispositivo ha un virus. Il popup induce l'utente a pagare una "multa" o a scaricare un software di sicurezza falso che si rivela essere in realtà un malware.
Lo spyware si nasconde in un computer infetto, raccoglie segretamente informazioni sensibili e le trasmette all'autore dell'attacco. Un tipo comune di spyware, chiamato key logger, registra tutte le battiture tasto di un utente, consentendo agli hacker di raccogliere nomi utente, password, numeri di conto bancario e carte di credito, numeri di previdenza sociale e altri dati riservati.
L'adware causa una presenza eccessiva di popup indesiderati nel dispositivo. È spesso incluso in software gratuiti, senza che l'utente ne sia consapevole. Quando installa il programma, installa involontariamente anche l'adware. La maggior parte degli adware sono poco più che un elemento fastidioso. Tuttavia, alcuni raccolgono dati personali, reindirizzano i browser web verso siti web dannosi o addirittura scaricano ulteriori malware sul dispositivo dell'utente se quest'ultimo fa clic su uno dei popup.
Il ransomware blocca i dispositivi o i dati di una vittima e richiede un riscatto, solitamente sotto forma di criptovaluta, per renderli di nuovo disponibili. Secondo l'X-Force Threat Intelligence Index di IBM, il ransomware è il secondo tipo di attacco informatico più comune e rappresenta il 17% degli attacchi.
Gli attacchi ransomware più semplici rendono gli asset inutilizzabili fino al pagamento del riscatto, ma i criminali informatici possono utilizzare altre tattiche per mettere ancora più sotto pressione le vittime.
In un attacco a doppia estorsione, i criminali informatici sottraggono i dati e minacciano di divulgarli se non vengono pagati. In un attacco a tripla estorsione, gli hacker crittografano i dati della vittima, li rubano e minacciano di mettere offline i sistemi tramite un attacco distributed denial-of-service (DDoS).
Le richieste di riscatto possono andare da decine di migliaia a milioni di dollari. Secondo un report (link esterno a ibm.com), il pagamento medio di un riscatto è pari a 812.360 USD. Anche se le vittime non pagano, il ransomware comporta comunque una perdita economica. Il report Cost of a Data Breach di IBM ha rilevato che un attacco ransomware medio costa 4,54 milioni di dollari, escluso il riscatto stesso.
Gli hacker utilizzano malware di accesso remoto per accedere a computer, server o altri dispositivi creando o sfruttando le backdoor. Secondo l'X-Force Threat Intelligence Index, installare le backdoor è l'obiettivo più comune per gli hacker e rappresenta il 21% degli attacchi.
Le backdoor consentono ai criminali informatici di incrementare l'attività. Possono sottrarre dati o credenziali, assumere il controllo di un dispositivo o installare malware ancora più pericolosi, come il ransomware. Alcuni hacker utilizzano i malware di accesso remoto per creare backdoor da vendere ad altri hacker, che possono fruttare diverse migliaia di dollari ciascuna.
Alcuni malware di accesso remoto, come Back Orifice o CrossRAT, sono realizzati intenzionalmente per scopi dannosi. Gli hacker possono anche modificare o utilizzare in modo improprio un software legittimo per accedere da remoto a un dispositivo. In particolare, i criminali informatici utilizzano le credenziali rubate per il remote desktop protocol (RDP) di Microsoft come backdoor.
Un attacco malware ha due componenti: il payload malware e il vettore di attacco. Il payload è il codice dannoso che gli hacker vogliono installare, mentre il vettore di attacco è il metodo utilizzato per far arrivare il payload al bersaglio.
Alcuni dei vettori di malware più comuni includono:
Gli attacchi di ingegneria sociale manipolano psicologicamente le persone inducendole a fare cose che non dovrebbero, come scaricare malware. Gli attacchi di phishing, che utilizzano e-mail o messaggi di testo fraudolenti per ingannare gli utenti, sono particolarmente comuni. Secondo l'X-Force Threat Intelligence Index, il phishing è un fattore comune al 41% delle infezioni da malware.
Le e-mail e i messaggi di phishing sono spesso realizzati in modo da sembrare provenienti da un marchio o da un individuo affidabile. In genere, per convincere gli utenti a compiere l'azione desiderata, fanno leva su emozioni forti come la paura ("Abbiamo trovato nove virus sul tuo telefono!"), l'avidità ("C'è un pagamento a tuo favore che ti aspetta!") o l'urgenza ("Affrettati, il tempo sta per scadere! Riscatta subito il tuo regalo, è gratis!"). Di solito, l'azione consiste nell'aprire un allegato e-mail dannoso o nel visitare un sito Web dannoso che installa il malware sul dispositivo.
I criminali informatici sono alla costante ricerca di vulnerabilità non risolte in software, dispositivi e reti che consentano loro di installare il malware nel software o nel firmware del bersaglio. I dispositivi IoT, molti dei quali vengono venduti e distribuiti con una sicurezza minima o nulla, rappresentano un campo particolarmente fertile per i criminali informatici che diffondono malware.
Tramite la tecnica del "baiting", gli hacker posizionano le unità USB infette, camuffate con etichette che catturano l'attenzione, in luoghi pubblici come spazi di coworking o caffetterie. Gli utenti ignari, attirati da queste unità, le collegano ai propri dispositivi per vedere cosa contengono. A quel punto, il malware infetta il sistema. Un recente studio ha rilevato che il 37% delle minacce informatiche conosciute è progettato per sfruttare i supporti rimovibili (link esterno a ibm.com).
Molte forme di malware, come i Trojan horse e gli adware, si mascherano da software utili o copie gratuite di film e file audio. Paradossalmente, spesso si spacciano per programmi antivirus o app gratuiti per migliorare le prestazioni dei dispositivi. Nonostante le reti torrent in cui gli utenti condividono contenuti multimediali contraffatti siano notoriamente il parco giochi dei criminali informatici, i malware nascosti possono anche farsi strada nei mercati autentici. Recentemente, il malware Goldoson (link esterno a ibm.com) è riuscito a infettare milioni di dispositivi nascondendosi nelle app disponibili nel Google Play Store.
Il malvertising prevede l'inserimento, da parte dell'hacker, di annunci dannosi in reti pubblicitarie legittime o il sabotaggio degli annunci autentici in modo da immettere il codice nocivo. Ad esempio, il malware Bumblebee (link esterno a ibm.com) si è diffuso tramite un annuncio Google dannoso che si spacciava per Cisco AnyConnect. Gli utenti che cercavano il prodotto reale vedevano l'annuncio nei risultati di ricerca, lo selezionavano e scaricavano involontariamente il malware.
Una tecnica simile chiamata "download drive-by" fa sì che gli utenti non debbano selezionare nulla: non appena visitano un sito Web dannoso, il download si avvia automaticamente.
Nelle reti aziendali, i dispositivi personali degli utenti possono essere i principali vettori di malware. Gli smartphone e i laptop degli utenti possono essere infettati nel tempo libero, quando si collegano a reti non protette senza il vantaggio delle soluzioni di sicurezza dell'azienda. Quando gli utenti utilizzano tali dispositivi, il malware può diffondersi nella rete aziendale.
Se la rete di un fornitore viene compromessa, il malware può diffondersi nelle reti di aziende che usano i prodotti e i servizi di tale fornitore. Ad esempio, i criminali informatici hanno approfittato di un errore nella piattaforma VSA di Kaseya (link esterno a ibm.com) per colpire i clienti con un ransomware con il pretesto di un aggiornamento software legittimo.
Alcune infezioni malware, come i ransomware, si palesano in modo evidente. Tuttavia, la maggior parte di esse cerca di rimanere nascosta alla vista mentre semina il caos. In ogni caso, le infezioni malware spesso lasciano dei segnali che i team addetti alla sicurezza informatica possono utilizzare per identificarle. Questi segnali includono:
Calo delle prestazioni: i programmi malware utilizzano le risorse del computer infetto per funzionare, spesso sottraendo spazio di archiviazione e interrompendo processi legittimi. Il team addetto all'assistenza IT potrebbe notare un afflusso di ticket da parte di utenti i cui dispositivi sono più lenti, si arrestano in modo anomalo o sono inondati di popup.
Attività di rete nuova e inaspettata: il personale IT e di sicurezza può notare strani pattern, ad esempio processi che utilizzano più larghezza di banda del solito, dispositivi che comunicano con server sconosciuti o account utente che accedono ad asset che di solito non utilizzano.
Configurazioni modificate: alcuni ceppi di malware alterano le configurazioni dei dispositivi o disattivano le soluzioni di sicurezza per non essere rilevati. I team IT e di sicurezza potrebbero notare che, ad esempio, le regole del firewall sono cambiate o i privilegi di un account sono stati incrementati.
Avvisi di eventi di sicurezza: per le organizzazioni che utilizzano soluzioni di rilevamento delle minacce, è probabile che il primo segnale di un'infezione da malware sia un avviso di evento di sicurezza. Soluzioni come i sistemi di rilevamento delle intrusioni (IDS), le piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM) e i software antivirus possono segnalare potenziali attività di malware che il team di risposta agli incidenti può esaminare.
Gli attacchi malware sono inevitabili, ma ci sono misure che le organizzazioni possono adottare per rafforzare le proprie difese. Queste comprendono:
Formazione sulla sensibilizzazione alla sicurezza: molte infezioni da malware sono provocate dagli utenti che scaricano software falsi o abboccano a truffe di phishing. La formazione sulla sensibilizzazione alla sicurezza può aiutare gli utenti a individuare attacchi di ingegneria sociale, siti web nocivi e app false. Inoltre, può aiutarli a capire cosa fare e chi contattare se sospettano una minaccia malware.
Politiche di sicurezza: richiedere password complesse, autenticazione a più fattori e VPN quando si accede ad asset riservati tramite rete Wi-Fi non protette può aiutare a limitare l'accesso degli hacker agli account degli utenti. Anche creare una pianificazione regolare per la gestione patch, le valutazioni delle vulnerabilità e i test di penetrazione può aiutare a rilevare le vulnerabilità di software e dispositivi prima che i criminali informatici le sfruttino. Le politiche di gestione dei dispositivi BYOD (bring your own device) e di prevenzione dello shadow IT possono impedire agli utenti di introdurre inconsapevolmente malware nella rete aziendale.
Backup: mantenere aggiornati i backup di dati riservati e delle immagini del sistema, idealmente su dischi rigidi o altri dispositivi che possono essere scollegati dalla rete, può semplificare il recupero da attacchi malware.
Architettura di rete zero trust: zero trust è un approccio alla sicurezza di rete che presuppone l'assenza di fiducia e la verifica continua degli utenti. In particolare, zero trust implementa il principio del minimo privilegio, la microsegmentazione di rete e l'autenticazione adattiva continua. Questa implementazione aiuta a garantire che nessun utente o dispositivo possa accedere a dati o asset riservati che non dovrebbe poter raggiungere. Se il malware entra nella rete, questi controlli possono limitarne il movimento laterale.
Piani di risposta agli incidenti: creare preventivamente piani di risposta agli incidenti per diversi tipi di malware può aiutare i team addetti alla cybersecurity a eliminare le infezioni da malware più rapidamente.
Oltre alle tattiche manuali descritte in precedenza, i team addetti alla cybersecurity possono utilizzare le soluzioni di sicurezza per automatizzare gli aspetti della rimozione, del rilevamento e della prevenzione del malware. Gli strumenti comuni includono:
Software antivirus: chiamati anche software "anti-malware", i programmi antivirus eseguono la scansione dei sistemi per rilevare tracce di infezione. Oltre ad avvertire gli utenti, molti programmi antivirus possono isolare e rimuovere automaticamente il malware al momento del rilevamento.
Firewall: i firewall possono prima di tutto impedire che parte del traffico dannoso raggiunga la rete. Se il malware riesce a penetrare in un dispositivo di rete, i firewall possono impedire le comunicazioni in uscita verso gli hacker, come ad esempio un key logger che invia le battiture tasto all'autore dell'attacco.
Piattaforme di gestione delle informazioni e degli eventi di sicurezza (SIEM): le piattaforme SIEM raccolgono informazioni da strumenti di sicurezza interni, le aggregano in un log centrale e segnalano eventuali anomalie. Inoltre, centralizzano gli avvisi provenienti da diverse origini, quindi possono individuare i segnali più impercettibili di malware più facilmente.
Piattaforme di Orchestrazione della sicurezza, automazione e risposta (SOAR): le piattaforme SOAR integrano e coordinano diversi strumenti di sicurezza, consentendo ai team addetti alla sicurezza di creare playbook parzialmente o completamente automatizzati per rispondere al malware in tempo reale.
Piattaforme di rilevamento e risposta degli endpoint (EDR): le piattaforme EDR monitorano le unità di endpoint, come smartphone, laptop e server, per rilevare tracce di attività sospette e possono rispondere automaticamente al malware rilevato.
Piattaforme di rilevamento e risposta estesi (XDR): le piattaforme XDR integrano strumenti e operazioni di sicurezza in tutti i livelli di sicurezza: utenti, endpoint, e-mail, applicazioni, reti, workload sul cloud e dati. Le piattaforme XDR possono automatizzare complessi processi di prevenzione, rilevamento, analisi e risposta al malware, compresa l'individuazione proattiva delle minacce.
Strumenti di gestione della superficie di attacco (ASM): gli strumenti ASM rilevano, analizzano, correggono e monitorano continuamente tutte gli asset presenti nella rete di un'organizzazione. Possono essere utili per aiutare i team addetti alla sicurezza informatica a individuare app e dispositivi shadow IT non autorizzati che potrebbero contenere malware.
Unified endpoint management (UEM): il software UEM monitora, gestisce e protegge tutti i dispositivi degli utenti finali di un'organizzazione, inclusi desktop, laptop e dispositivi mobili. Molte organizzazioni utilizzano soluzioni UEM per garantire che i dispositivi BYOD dei dipendenti non introducano malware nella rete aziendale.
Per prevenire e combattere le moderne minacce ransomware, IBM utilizza gli insight provenienti da 800 TB di dati sulle attività delle minacce e le informazioni provenienti da oltre 17 milioni di attacchi di spam e phishing. Analizza inoltre i dati di reputazione su quasi 1 milioni di indirizzi IP dannosi provenienti da una rete di 270 milioni di endpoint.
Gli attacchi informatici sono tentativi indesiderati di rubare, esporre, alterare, disabilitare o distruggere le informazioni tramite l'accesso non autorizzato ai sistemi di elaborazione.
Il ransomware tiene in ostaggio i dispositivi e i dati delle vittime fino al pagamento del riscatto. Scopri come funziona il ransomware, perché è proliferato negli ultimi anni e come le organizzazioni si difendono da esso.
Zero Trust è un framework che considera la sicurezza di una rete complessa sempre a rischio per le minacce esterne e interne. Organizza ed elabora una strategia adottando un approccio approfondito per contrastare tali minacce.
Ogni anno, IBM® Security X-Force, il nostro team interno di esperti di cybersecurity e addetti alla correzione, analizza miliardi di punti dati, ricavandone le statistiche e le tendenze di sicurezza più urgenti e attuali.