Il codice malevolo, anche conosciuto come malware, rappresenta una delle più grandi sfide per la sicurezza informatica a livello globale. Questo tipo di software dannoso può causare una vasta gamma di problemi per gli utenti, tra cui la perdita di dati sensibili, l’interruzione delle attività aziendali e l’alterazione di informazioni. Con l’aumento della dipendenza dalle tecnologie digitali, è diventato sempre più importante capire di cosa si tratti e come proteggere i sistemi informatici.
Questo articolo si propone di esaminare il mondo del codice malevolo, le sue forme e modalità di attacco, nonché le tecniche di diffusione utilizzate.
Esiste solo un tipo di malware?
Il codice malevolo può assumere forme diverse, come virus, worm, Trojan, spyware e ransomware. Ognuno di questi tipi di malware ha caratteristiche uniche e metodi di diffusione specifici, ma tutti hanno lo scopo di causare danni o sfruttare le informazioni dell’utente. Ad esempio, i virus si diffondono attraverso i file condivisi, mentre i Trojan si nascondono dietro software apparentemente innocui. I ransomware, d’altra parte, crittografano i file dell’utente e richiedono un pagamento per sbloccarli.
I cyber criminali sviluppano costantemente nuove tecniche per diffondere il malware. In generale sfruttano vulnerabilità dei sistemi operativi e dei software per eseguire scripts o codice compilato che hanno il compito di impiantare back doors, sottrarre informazioni o estorcere denaro.
In alcuni casi è richiesta l’interazione umana, in altri vengono eseguite azioni in modalità del tutto automatica.
Vediamo quali sono i malware più diffusi
Virus: è un programma che si diffonde da computer a computer attraverso file condivisi o allegati e-mail. Una volta che il virus ha infettato un computer, può replicarsi e diffondersi ad altri computer, causando danni al sistema e ai file. Un virus, ad esempio, può cancellare i file sul computer o modificare il registro di sistema.
Worm: simile a un virus, si diffonde sfruttando la rete, dispositivi di memorizzazione o allegati e-mail. Un worm può causare un sovraccarico del sistema, rendendo il computer molto lento o, addirittura, bloccandolo.
Trojan: è un programma che si presenta come innocuo, ma in realtà nasconde un software dannoso. Una volta che l’utente scarica e installa il Trojan, questo può sfruttare le vulnerabilità del sistema per diffondere altro malware o rubare informazioni sensibili. Ad esempio, un Trojan potrebbe aprire una porta IP sul computer per permettere ai cyber criminali di accedere al sistema e controllarne remotamente le funzionalità (back door).
Spyware: si introduce sul computer per monitorare le attività dell’utente e raccogliere informazioni sensibili come password e dati di carte di credito. Uno spyware può impiantarsi sul computer nel corso dell’installazione di un altro software e poi inviare informazioni all’hacker senza che l’utente ne abbia consapevolezza.
Ransomware: cifra i file sul computer e richiede un pagamento per sbloccarli. L’utente riceve un messaggio che richiede il pagamento di una somma di denaro per ottenere la chiave di decrittazione dei propri file.
L’Adware viene definito come il virus della pubblicità, poiché colpisce le sue vittime con una sovrabbondanza di annunci pubblicitari, rendendo l’esperienza di navigazione estremamente fastidiosa. Non si limita a questo, ma traccia anche le attività online per personalizzare gli annunci e reindirizzare verso siti web pericolosi.
Il Rootkit è un tipo di malware specificamente progettato per colpire qualsiasi tipo di dispositivo. È in grado di bypassare anche i sistemi di sicurezza più avanzati. La sua attività mira ad avere il controllo sul sistema ed è in grado di effettuare la cosiddetta privilege escalation, ottenendo diritti di root, ovvero i privilegi più elevati per operare.
Il Bot è un tipo di virus relativamente sconosciuto. È progettato per interagire autonomamente sulla rete. Considerato come la forma più avanzata di worm, una volta che ha infettato il dispositivo host, prosegue la sua azione infettando tutti i dispositivi connessi alla rete. Oltre a sottrarre dati sensibili, può anche essere utilizzato per eseguire attacchi DDoS (Distributed Denial of Service), che sono i principali responsabili della congestione e della chiusura dei servizi di siti web.
Un malware può colpire una vasta gamma di dispositivi, compresi quelli mobili che utilizziamo quotidianamente, sistemi Internet of Things, domotici, industriali, di infotainment.
Qualsiasi dispositivo connesso o che abbia delle interazioni con l’essere umano è un potenziale target di attacchi. Persino le autovetture o le colonnine di ricarica di veicoli elettrici.
Quali obiettivi ha il codice malevolo?
Lo scopo può variare. I casi più comuni riguardano:
Rubare dati sensibili: informazioni personali come password, informazioni bancarie, dati di carte di credito e altri dati privati.
Controllare i dispositivi infetti: prendendone il controllo e utilizzandoli per compiere azioni dannose.
Condurre attacchi DDoS: causando la saturazione di reti o sistemi.
Spionaggio: mirato alla raccolta di informazioni sulle attività dell’utente, come la navigazione in internet, la digitazione di tasti e altre attività.
Diffondere ulteriori malware: una volta che un dispositivo è stato infettato, il codice può diffondere ulteriori malware all’interno della rete.
Quali sono i canali utilizzati per la diffusione?
I malware possono utilizzare diversi sistemi per diffondersi e compromettere più dispositivi possibile. Tra i metodi più comuni vi sono:
E-mail di phishing: sembra provenire da una fonte attendibile, ma che in realtà cela un meccanismo per impiantare ed eseguire il codice.
Download di software infetti: scaricati e installati inconsapevolmente sui dispositivi dell’utente.
Vulnerabilità di sicurezza: sfruttamento di vulnerabilità di software o di sistema che permettono al malware di entrare nei dispositivi.
Siti web malevoli: che ospitano contenuti dannosi come download di software infetti o pubblicità ingannevoli.
Reti compromesse: che sono state oggetto di precedenti attacchi.
Dispositivi di archiviazione esterni infetti: come chiavette USB, hard disk e Solid State Drive.
Naturalmente i vettori di attacco possono essere meno comuni come, ad esempio, le cosiddette Bad USB, dispositivi con sembianze di chiavette USB, che celano l’elettronica per agire come tastiere ed eseguire comandi una volta inserite sui dispositivi.
Internet facilita le cose
La diffusione del web e l’aumento di complessità delle piattaforme, se da un lato propone soluzioni e possibilità entusiasmanti, dall’altro offre il fianco alle minacce, proprio per l’aumentata superficie di attacco.
I sistemi connessi alla rete sono costituiti da interfacce di front end, dati di back end e relativi server di gestione.
Una complessità difficile da tenere a bada. Una singola disattenzione o un mancato aggiornamento possono facilitare il lavoro dei malintenzionati.
Ecco, dunque, il dilagare di nuove tecniche e vettori d’attacco. Vediamone alcuni:
Cross-Site Scripting (XSS): sfrutta vulnerabilità nella validazione dell’input per eseguire codice malevolo all’interno di un sito web.
Code Injection: inietta codice arbitrario all’interno di altro software lecito, influenzandone il funzionamento.
SQL Injection: inietta istruzioni di linguaggio SQL all’interno di una query al database.
Local File Inclusion: sfrutta una vulnerabilità per uploadare codice sul server e, successivamente, eseguirlo.
Remote File Inclusion (RFI): sfrutta vulnerabilità in applicazioni web che fanno dinamicamente riferimento a script esterni, per inserire ed eseguire remotamente del codice.
Cross-Site Request Forgery (CSRF): sfrutta le sessioni attive dell’utente per eseguire azioni non autorizzate sul sito web.
La storia insegna e ci mette in allerta
Dalla semplice lettura di notizie e reports pubblicati sul web, possiamo comprendere quanto il fenomeno degli attacchi informatici sia vasto e minaccioso.
Citiamo alcuni casi storici:
WannaCry: un attacco ransomware che si è diffuso in tutto il mondo nel maggio 2017, colpendo molte aziende e organizzazioni governative.
Stuxnet: un worm informatico che ha colpito i sistemi di controllo industriale iraniani nel 2010, causando danni significativi all’infrastruttura nucleare del paese.
Heartbleed: una vulnerabilità del software open-source OpenSSL che ha esposto i dati sensibili di milioni di utenti nel 2014.
NotPetya: un attacco ransomware che si è diffuso in tutto il mondo nel giugno 2017, causando milioni di dollari di danni a molte organizzazioni.
Equifax: una violazione della sicurezza che ha esposto i dati sensibili di milioni di consumatori americani nel 2017, causando una significativa perdita di fiducia nel mercato del credito.
Emotet: trojan bancario avanzato che si è diffuso in tutto il mondo a partire dal 2014. È noto per la sua capacità di infettare i sistemi e di diffondersi rapidamente attraverso la rete. Emotet è stato utilizzato come vettore per altre minacce, come il ransomware Ryuk, che ha causato gravi danni alle aziende colpite. E’ stato considerato una delle minacce informatiche più pericolose e persistenti, e la sua attività è stata monitorata dalle autorità di sicurezza informatica in tutto il mondo.
La difesa parte dalla consapevolezza
La complessità del mondo digitale è altissima, i sistemi informatici hanno raggiunto un grado di evoluzione davvero formidabile, offrendoci possibilità inimmaginabili.
Le minacce a cui ci esponiamo quotidianamente sono tali da giustificare l’adozione di strategie di difesa efficaci. L’offerta è vastissima e citiamo quelle di larga diffusione:
Antivirus: Utilizzare un software antivirus affidabile che rilevi e rimuova i malware in tempo reale.
Aggiornamenti software: Assicurarsi di tenere aggiornato il sistema operativo e altri software installati sul sistema per evitare vulnerabilità note.
Firewall: Configurarne uno per impedire l’accesso non autorizzato ai sistemi IT.
Protezione della rete: Implementare tecnologie di sicurezza di rete come la crittografia, l’autenticazione a due fattori e la limitazione degli accessi per proteggere le informazioni sensibili.
Back-up: Eseguire con regolarità copie dei dati per evitare la perdita permanente di informazioni importanti.
Formazione degli utenti: Educare gli utenti sui pericoli del malware e insegnare loro come evitarlo quando esso viene veicolato attraverso e-mail di phishing, download di software sospetti e altre fonti.
Un’efficace strategia difensiva parte proprio dalla formazione degli utenti. L’essere umano rappresenta un anello debole quando si parla di interazione uomo – macchina. Restare costantemente informati può aiutarci a comprendere i rischi e come le minacce vengono perpetrate.
Marco Marra
Appassionato di tecnologia ed esperto di Cyber Security con molti anni di esperienza nella prevenzione e gestione delle minacce cibernetiche. Altamente qualificato grazie alla continua formazione tecnica ed alle innumerevoli collaborazioni su progetti di sicurezza di importanti dimensioni in aziende italiane e multinazionali. Costantemente impegnato in attività di hacking etico e nella progettazione di sistemi di difesa Cyber Fisici