I malware, abbreviazione di "Malicious Software", possono essere disponibili in diversi formati. Il termine malware si riferisce a qualsiasi software progettato intenzionalmente per causare danni, rubare informazioni o ottenere accesso non autorizzato a un utente o a sistemi aziendali. Per quanto riguarda il trasporto, è possibile trovare malware in qualsiasi forma di protocollo informatico o meccanismo di trasporto. Anche oggi casi singoli mostrano che potrebbe essere preinstallato anche su hardware come gli smartphone. In questo articolo esamineremo alcuni dei tipi più comuni che potresti incontrare.
Un virus informatico è un tipo di malware che mira ad attaccarsi a file o applicazioni legittimi per corrompere i dati, interferire con le operazioni del sistema o persino diffondersi ad altri sistemi sulla stessa rete.
Il virus Melissa nel 1999 ha preso di mira i sistemi basati su Microsoft Word e Outlook. Questo virus informatico si è diffuso attraverso allegati email che hanno provocato arresti anomali dei server e un danno stimato di 1,1 miliardi di dollari a livello globale. Fino al 2000 i virus erano la classe dominante di malware, tanto che l'industria che combatte il codice maligno è stata chiamata “Antivirus”.
A differenza dei virus, i worm non hanno bisogno dell'interazione umana per diffondersi. I worm si auto-replicano e sfruttano le vulnerabilità del sistema per infettare più dispositivi in una rete. La loro capacità di propagarsi autonomamente li rende particolarmente pericolosi, spesso portando a interruzioni significative e perdita di dati.
Il worm WannaCry, ha preso di mira una vulnerabilità di Windows nel 2017, crittografando i dati e richiedendo pagamenti di riscatto.
I worm possono rapidamente far cadere intere reti, sovraccaricando i sistemi con traffico massiccio o sfruttando punti di accesso ai dati critici, causando danni sia in ambito aziendale sia governativo. Anche se sono molto pericolosi, i worm vengono raramente utilizzati negli attacchi coordinati in quanto sono relativamente rumorosi e quindi facili da rilevare. Sono anche molto difficili da controllare per gli attori delle minacce che portano a effetti collaterali indesiderati.
I trojan si camuffano come software legittimo per indurre gli utenti a scaricarli. Una volta che la vittima installa il malware, fornirà payload dannosi che possono spaziare dalla creazione di backdoor per gli aggressori al furto di dati o persino alla fornitura di un controllo completo del sistema. I trojan sono incredibilmente versatili e possono assumere molte forme, tra cui trojan backdoor, trojan bancari e trojan di accesso remoto (RAT). Ad esempio, i Trojan bancari prenderanno di mira in modo specifico le informazioni finanziarie, mentre i RAT consentono agli aggressori di monitorare e controllare i dispositivi infetti da remoto.
Il Trojan Zeus, attivo dal 2007, è uno degli esempi più noti, che ha rubato milioni di dollari rubando credenziali bancarie e informazioni di accesso.
Il ransomware è un tipo di malware che cripta i dati di una vittima e ne impedisce l'accesso fino al pagamento di un riscatto. Gli attacchi ransomware sono diventati sempre più comuni con gli attacchi di alto profilo ad aziende, ospedali e agenzie governative come obiettivo dell'aggressore per i cospicui pagamenti di riscatto. Gli aggressori spesso utilizzano email di phishing o download dannosi per eseguire il loro attacco.
Uno degli attacchi ransomware più devastanti, Petya, ha colpito nel 2016, crittografando interi dischi rigidi e paralizzando le organizzazioni fino a quando non hanno pagato il riscatto. I danni finanziari e operativi causati dal ransomware possono essere enormi, in quanto possono portare a tempi di inattività, perdita di dati sensibili e costosi pagamenti di riscatto.
L'utilizzo del ransomware per estorcere denaro è uno degli schemi di criminalità informatica di maggior successo. Oggi, i gruppi altamente organizzati lo offrono come modello di servizio ad altri criminali. Le cosiddette organizzazioni "Ransomware as a Service" sono responsabili di quasi 1.500 attacchi riusciti alle aziende dell'UE tra luglio 2023 e giugno 2024, secondo l'Agenzia delle Nazioni Unite per la cybersecurity (ENISA) https://www.enisa.europa.eu/topics/cyber-threats/threats-and-trends.
Lo spyware è un tipo di malware che raccoglie dati sensibili da sistemi infetti senza che l'utente ne sia a conoscenza. Può monitorare le abitudini di navigazione, registrare le sequenze di tasti e acquisire le credenziali di accesso, ponendo una grave minaccia sia alla privacy individuale che alla sicurezza aziendale.
Lo spyware Pegasus, scoperto nel 2016, è un ottimo esempio, che consente agli aggressori di accedere ai dati su dispositivi iOS e Android. Lo spyware viene spesso fornito in bundle con software dall'aspetto legittimo o attraverso download di siti web dannosi. Gli aggressori possono utilizzare queste informazioni per furto di identità, spionaggio aziendale o altri scopi dannosi.
L'adware è un tipo di malware che visualizza pubblicità indesiderate su sistemi infetti e, sebbene sia considerato meno dannoso di altri tipi di malware, può comunque comportare rischi significativi. Lo scopo dell'adware è generare entrate per gli aggressori visualizzando annunci e tramite PPC (Pay Per Click) se l'utente clicca su un annuncio pubblicitario. Sebbene l'adware non rubi in genere dati sensibili, può degradare l'esperienza dell’utente e aprire la porta a infezioni malware più gravi.
Gli adware Fireball, che hanno infettato milioni di sistemi nel 2017, hanno dirottato i browser e monitorato il comportamento degli utenti per scopi pubblicitari, evidenziando la natura invadente degli adware.
L'estrazione di criptovalute come Bitcoin è legale a condizione che il sistema sottostante appartenga all’estrattore o che venga dato il consenso del proprietario. Tuttavia, i criminali infettano regolarmente i sistemi illegalmente con questo tipo di software che assegna a questo metodo il nome di "Cryptojacking". Man mano che il malware scarica l'energia dell'ospite cercando di generare monete di criptovaluta che potrebbero essere vendute dall'attore delle minacce.
Il furto di Energie è spesso considerato un problema minore e quindi ignorato. I virus del mining di monete vengono quindi utilizzati anche dai criminali "Access as a Service" per generare un po' di denaro mentre attendono i loro clienti.
I rootkit sono alcuni dei tipi di malware più pericolosi e difficili da rilevare e rimuovere. Questi strumenti dannosi consentono agli aggressori di ottenere un accesso privilegiato e a lungo termine a un sistema nascondendo la loro presenza sia agli utenti che al software di sicurezza. I rootkit possono manipolare i file di sistema, alterare i processi e modificare le impostazioni di sicurezza per evitare il rilevamento, consentendo agli aggressori di mantenere il controllo su un sistema compromesso per periodi prolungati.
Nello scandalo rootkit Sony BMG del 2005, il software rootkit è stato installato segretamente sui CD per impedire la copia, rendendo i sistemi vulnerabili a ulteriori attacchi malware.
I keylogger sono una forma di spyware progettata per registrare le sequenze di tasti di un utente, consentendo agli aggressori di acquisire informazioni sensibili come password, numeri di carte di credito e messaggi privati. I keylogger vengono spesso distribuiti attraverso attacchi di phishing o raggruppati con altri malware. Una volta installati, registrano in silenzio ogni sequenza di tasti, inviando i dati all'aggressore per lo sfruttamento. Questo tipo di malware è particolarmente pericoloso negli ambienti finanziari e aziendali, dove le credenziali di accesso ai conti bancari o ai sistemi sicuri possono essere rubate.
Il malware fileless è un'innovazione moderna negli attacchi malware, poiché funziona senza un file. Vive invece nella memoria di sistema, rendendo difficile il rilevamento e la rimozione del software antivirus tradizionale. Il malware fileless sfrutta strumenti di sistema legittimi, come PowerShell, per eseguire le sue attività dannose. Poiché non si basa sul file storage, il malware fileless presenta una sfida unica per i professionisti della cybersecurity, che richiedono metodi di rilevamento avanzati. Gli aggressori spesso utilizzano malware fileless per eseguire attacchi furtivi che possono non essere rilevati per periodi prolungati.
Una botnet è una rete di dispositivi compromessi, noti anche come "zombie", che sono controllati da remoto dagli aggressori. Questi dispositivi possono essere utilizzati per attacchi su larga scala, come attacchi DDoS (Distributed Denial of Service) o campagne di spam. Le botnet sono spesso costruite infettando i dispositivi con malware, trasformandoli in partecipanti sconosciuti in attività dannose.
Una delle più grandi botnet, Mirai, è stata responsabile di un massiccio attacco DDoS nel 2016 che ha temporaneamente chiuso i principali siti web. Le botnet possono essere utilizzate per sopraffare le reti, rubare dati o eseguire altre azioni dannose senza che l'utente ne sia a conoscenza.
Per proteggerti da questi vari tipi di malware, dovresti adottare alcune delle best practice menzionate di seguito:
Mantieni aggiornato tutto il tuo software: Aggiorna regolarmente i tuoi sistemi operativi, i driver di sistema e tutto il software sul tuo dispositivo. Gli aggiornamenti software spesso contengono patch che sono una soluzione per problemi o vulnerabilità specifici che potrebbero essere sfruttati.
Usare i firewall: I firewall bloccano l'accesso non autorizzato alle reti e monitorano il traffico in entrata e in uscita alla ricerca di attività sospette.
Istruire i dipendenti: I dipendenti devono ricevere una formazione sulla cybersecurity per aiutarli a individuare i tentativi di phishing e identificare link o download dannosi.
Endpoint Detection and Response (EDR): Le soluzioni EDR forniscono monitoraggio e rilevamento continui delle minacce alla sicurezza su tutti i dispositivi, contribuendo a bloccare il malware prima che possa causare danni diffusi.