Malware - forma abbreviata di "malicious software", ossia software dannoso - è codice software scritto per danneggiare o distruggere computer o reti o per fornire un accesso non autorizzato a computer, reti o dati per un utilizzo nefasto o criminale. Una qualche forma di malware è alla base di quasi ogni tipo di attacco informatico.
I criminali informatici utilizzano il malware per
I costi degli attacchi correlati al malware sono enormi. Secondo il Cybercrime Magazine, il costo del danno globale di un solo tipo di malware - il ransomware - è stato di 20 miliardi di dollari nel 2021 e raggiungerà i 265 miliardi di dollari nel 2031 (link esterno a ibm.com).
Un tempo, la maggior parte delle minacce malware era rappresentata da virus di computer, codice che "infetta" un computer e poi diffonde copie di se stesso ad altri computer. Il primo virus di computer in assoluto, chiamato Creeper, si replicò fino a paralizzare il computer riempiendone il disco rigido (lavoro relativamente veloce nel 1971, quando Creeper fece la sua comparsa). I virus successivi disabilitavano i sistemi di computer sovrascrivendo o danneggiando i file del sistema operativo, i file applicativi o i settori di avvio dei dischi.
Oggi il malware si presenta in un'ampia gamma di tipi, ciascuno dei quali è in continua evoluzione per arrecare danni più gravi a computer e reti e per eludere il rilevamento e la correzione a opera degli strumenti di sicurezza e delle tecnologie di protezione da malware. Di seguito sono riportate delle brevi descrizioni di alcuni dei tipi più comuni di malware attualmente in circolazione.
Ransomware
Il ransomware è un malware che blocca il dispositivo di una vittima o ne crittografa i dati, parzialmente o integralmente, ed esige il pagamento di un riscatto, spesso sotto forma di criptovaluta, per sbloccare il dispositivo, decrittografare i dati o evitare che i dati vengano rubati o condivisi. Secondo l'X-Force Threat Intelligence Index del 2022 (PDF, 4,1 MB), quasi tutti gli incidenti ransomware a cui X-Force ha risposto dal 2019 comportavano una "doppia estorsione", minacciando la vittima sia con la crittografia che con il furto dei dati. Gli incidenti ransomware con "tripla estorsione", che minacciano la crittografia e il furto dei dati e in più il lancio di un attacco DDoS (distributed denial of service) (vedi Botnet, di seguito), sono in crescita.
Lo stesso report ha constatato che, nel 2021, gli attacchi ransomware hanno rappresentato il 21% di tutti gli attacchi informatici.
Le vittime e i negoziatori di ransomware sono riluttanti a divulgare gli importi di pagamento dei riscatti. È stato riferito che una compagnia assicurativa globale abbia effettuato, nel mese di maggio del 2021, il più ingente pagamento di ransomware di cui si abbia notizia, pari a 40 milioni di dollari (link esterno a IBM.com). Le stime degli importi di pagamento medi vanno dall'ordine dei 100.000 dollari a quello dei 300.000 dollari. Ma per molte vittime di ransomware il riscatto è il costo più ridotto. Secondo il report di IBM Cost of a Data Breach del 2021, il costo medio di un attacco ransomware, escluso il riscatto, è stato pari a 4,62 milioni di dollari.
Malware di accesso ai server
Il malware di accesso ai server fornisce agli aggressori un accesso non autorizzato ai server delle applicazioni web. Spesso, il malware di accesso ai server è software legittimo, modificato o utilizzato in modo improprio per gli attacchi informatici; alcuni, ironicamente, sono stati sviluppati originariamente per dimostrare le vulnerabilità di sicurezza di un server o del suo sistema operativo.
I tipi di malware di accesso ai server includono le shell web, che consentono agli aggressori di assumere il comando di un server web tramite un browser web, e i programmi di amministrazione del sistema in remoto come ad esempio Back Orifice, che consente l'amministrazione in remoto di Microsoft Windows su un server o un computer. Gli aggressori utilizzano questo tipo di malware per qualsiasi cosa, dal deturpare o paralizzare i siti web della vittima al furto di credenziali e altri dati sensibili degli utenti. Secondo l'X-Force Threat Intelligence Index del 2022, l'11% di tutti gli incidenti di sicurezza informatica nel 2021 è rappresentato da attacchi di accesso ai server.
Botnet
Tecnicamente, le botnet non sono malware - esse vengono create utilizzando il malware. Una botnet è una rete di dispositivi connessi a Internet e infetti da malware: PC, smartphone, dispositivi IoT (Internet of Things) e altro ancora. Il malware crea una backdoor attraverso la quale l' hacker può controllare i dispositivi in remoto. Gli hacker creano le botnet per lanciare attacchi DDoS (distributed denial of service), attacchi che bombardano una rete obiettivo con una quantità tale di traffico da rallentarla a una frazione della sua velocità o fino ad arrestarla completamente.
Cryptojacker
Un cryptojacker è un malware che assume il controllo in remoto di un dispositivo e lo usa per eseguire il mining di criptovaluta, un'attività estremamente costosa e dispendiosa in termini di calcolo. (Essenzialmente, i cryptojacker creano delle botnet per il mining di criptovaluta). Le criptovalute pagano delle ricompense, solitamente in criptovaluta, alle persone che forniscono potenza di calcolo per il mining. Il cryptojacking consente ai criminali informatici di beneficiare di queste ricompense utilizzando i dispositivi di altre persone.
Malware senza file
Il malware senza file è un malware che opera in memoria e inserisce codice o script nocivi nelle applicazioni legittime. Poiché non lascia una firma - una stringa di byte caratteristica del malware - il malware senza file non può essere identificato e rimosso con il tradizionale software antivirus, ma molte delle soluzioni antivirus di nuova generazione (NGAV) possono rilevarlo.
Altri tipi di malware
Come il malware stesso, i metodi o i percorsi di diffusione di malware, detti vettori, sono numerosi e in evoluzione. Tenere traccia di queste tattiche è fondamentale per la prevenzione, il rilevamento e la risposta al malware. Alcuni dei vettori di malware utilizzati più comunemente includono:
Una protezione dalle minacce malware di successo richiede un approccio completo in tutta l'organizzazione e la partecipazione a tutti i livelli - dai team di sicurezza al personale IT, ai dipendenti e ai business partner. La formazione degli utenti, le politiche di sicurezza e le tecnologie di sicurezza sono tutti elementi che rivestono un ruolo critico.
Formazione degli utenti
Gli utenti sono la prima linea di difesa nello schema di protezione dal malware di un'organizzazione. Oggi la maggior parte delle organizzazioni forma in maniera ufficiale gli utenti a comportarsi in modi che riducono al minimo il rischio di malware e altre minacce alla sicurezza informatica. Le lezioni includono
La maggior parte della formazione alla sicurezza degli utenti finali spiega anche loro le azioni specifiche da intraprendere, incluso chi contattare, in caso di minaccia malware effettiva o sospetta.
Politiche di sicurezza
Le politiche di sicurezza impostano gli standard IT per le tecnologie IT e il comportamento per ridurre al minimo o eliminare il rischio di minacce alla sicurezza informatica. Queste politiche definiscono cose quali il tipo e il livello di crittografia per le e-mail, la lunghezza minima e il contenuto delle password e i privilegi di accesso alla rete.
Le politiche volte specificamente a prevenire il malware potrebbero prevedere dei divieti
Tecnologie di sicurezza informatica
Le moderne tecnologie di sicurezza informatica si dividono in due categorie generali.
Gli strumenti di sicurezza preventivi sono progettati per rilevare, isolare ed eliminare le minacce alla sicurezza informatica note o identificabili. Molti di questi - software antivirus (incluso il software di nuova generazione - o NGAV, next-gen antivirus), software anti-malware e di rimozione di malware, i firewall, i filtri URL - sono familiari alla maggior parte degli utenti.
Le tecnologie di rilevamento e risposta sono soluzioni di sicurezza aziendale che aiutano i team di sicurezza a identificare e rispondere in tempi rapidi ai malware e ad altre minacce che eludono gli strumenti preventivi. Queste soluzioni di solito si integrano con strumenti di sicurezza preventiva, feed di intelligence sulle minacce e altre fonti di dati correlati alla sicurezza. Identificano gli indicatori di malware e altre minacce informatiche - detti IOC (indicator of comprimise) - utilizzando analytics avanzata e AI. Consentono anche ai team di sicurezza di automatizzare determinate attività per accelerare la risposta agli incidenti e limitare o evitare i danni che ne derivano.
Alcune delle tecnologie di rilevamento e risposta più comunemente utilizzate includono:
Zero Trust descrive un approccio alla sicurezza informatica che presume che il malware e altri attacchi informatici violeranno con successo le difese perimetrali di una rete e, di conseguenza, si focalizza sull'intralciare gli spostamenti degli aggressori nella rete e complicare il raggiungimento dei loro obiettivi dopo che sono "entrati". Le misure di sicurezza informatica correlate a un approccio Zero Trust includono (ma non sono assolutamente limitate a):
Una strategia Zero Trust limita strettamente gli utenti all'accesso di cui hanno bisogno per eseguire i loro ruoli e richiede una verifica rinnovata o aggiuntiva ogni volta che richiedono un accesso aggiuntivo. Ciò può ridurre notevolmente l'impatto di ransomware e altro malware che penetra la rete e resta annidato per mesi, provando a ottenere un accesso maggiore ai dati e altre risorse in preparazione di un attacco.
Proteggi i tuoi dipendenti dagli attacchi di phishing che possono compromettere la sicurezza della tua organizzazione
Gestisci in modo proattivo i rischi alla sicurezza informatica, identifica le vulnerabilità e riduci al minimo l'impatto degli attacchi ransomware.
Orchestra la risposta agli incidenti in caso di attacco informatico.
Prevenzione, rilevamento a risposta gestiti basati sull'AI per una difesa dalle minacce più rapida
Aumenta la resilienza informatica e gestisci i rischi consentendo al tempo stesso agli utenti di accedere alle risorse appropriate.
Proteggi gli asset critici e gestisci l'intero ciclo di vita delle minacce con un framework di sicurezza più intelligente.
Soluzioni di intelligence sulle minacce globale con prodotti e competenze leader del settore.
Proteggi i tuoi utenti, i tuoi asset e i tuoi dati tramite la gestione e la prevenzione delle frodi prima che si verifichino.
Rileva e correggi malware derivanti da app sospette prima che causino problemi.
Gli attacchi informatici provano a sottrarre, esporre, modificare, disabilitare o distruggere informazioni tramite un accesso non autorizzato a sistemi di computer
Il ransomware minaccia di distruggere o trattenere i dati della vittima – o peggio – a meno che non venga pagato un riscatto all'aggressore
Un approccio Zero Trust alla sicurezza presume che una rete sia sempre a rischio di minacce esterne ed interne
La risposta agli incidenti è la reazione sistematica di un'organizzazione a un attacco informatico o a un tentativo di violazione della sicurezza delle informazioni
La gestione delle minacce è il processo utilizzato dai professionisti della sicurezza informatica per prevenire gli attacchi informatici, rilevare le minacce informatiche e rispondere agli incidenti di sicurezza
Leggi l'X-Force Threat Intelligence Index 2022
La sicurezza dei dispositivi mobili protegge gli utenti dalla perdita di asset o dati mentre utilizzano computer mobili e hardware per le comunicazioni
Un SOC (Security Operations Center) unifica e coordina le tecnologie e le operazioni di sicurezza informatica di un'organizzazione
La gestione dei rischi identifica, valuta e controlla le minacce a un'organizzazione