Il malware è un nome collettivo utilizzato per descrivere qualsiasi tipo di software nocivo progettato per danneggiare computer, server, client o reti e/o infrastrutture informatiche senza che gli utenti finali se ne accorgano.
I cyber-criminali creano, utilizzano e vendono malware per molte ragioni diverse, ma quella più frequente è trafugare informazioni personali, finanziarie o aziendali. Nonostante le motivazioni possano variare, le tattiche, tecniche e procedure (TTP) degli aggressori informatici prevedono quasi sempre di ottenere l’accesso alle credenziali e agli account privilegiati per raggiungere il proprio obiettivo.
Classificazione del malware
Quasi tutti i tipi di malware sono classificabili in una delle seguenti categorie:
- Virus: quando viene eseguito su un computer, un Virus informatico può replicarsi inserendo il suo codice nocivo in altri programmi. È l’unico tipo di malware che può “infettare” altri file, nonché uno dei più difficili da rimuovere.
- Worm: un Worm è in grado di replicarsi senza coinvolgere l’utente finale, per poi infettare rapidamente intere reti spostandosi da una macchina all’altra.
- Trojan: i Trojan sono tra i malware più difficili da rilevare, poiché si ‘travestono’ da programmi legittimi. Questo tipo di malware contiene codice nocivo maligno con istruzioni specifiche, e se lanciato dalla vittima esegue attività non rilevabili. Viene spesso utilizzato per consentire la penetrazione di altri malware nel sistema.
- Malware ibrido: il malware moderno è spesso un ‘ibrido’, ovvero una combinazione tra diversi tipi di software nocivo. Ad esempio, i “Bot” appaiono dapprima come Trojan, ma una volta eseguiti si comportano da Worm. Vengono spesso utilizzati per prendere di mira singoli utenti nell’ambito di un attacco informatico più ampio esteso all’intera rete.
- Adware: questo tipo di malware invia all’utente finale messaggi pubblicitari indesiderati ed aggressivi (es. pop-up pubblicitari).
- Malvertising: questo tipo di malware si avvale di messaggi pubblicitari legittimi per inviare malware alle macchine degli utenti finali.
- Spyware: lo Spyware osserva le attività dell’ignaro utente finale raccogliendo credenziali e password, la cronologia di navigazione ed altro ancora.
- Ransomware: il Ransomware infetta le macchine, crittografa i file e tiene in ostaggio la chiave di decrittazione finché la vittima non paga il riscatto. Gli attacchi Ransomware mirati alle aziende e agli organismi governativi sono in aumento e costano milioni a queste organizzazioni, alcune delle quali decidono di pagare gli aggressori per ripristinare i sistemi più critici. Cyptolocker, Petya e Loky sono alcune delle famiglie di ransomware più note e diffuse.
Esempi di malware
Ecco solo alcuni dei diversi tipi di malware utilizzati dagli aggressori informatici per prendere di mira i dati sensibili:
- Pony è il malware più comunemente utilizzato per trafugare password e credenziali. È anche noto come Pony Stealer, Pony Loader o FareIT. Pony prende di mira le macchine Windows e raccoglie informazioni sul sistema e gli utenti ad esso collegati. Può essere utilizzato per scaricare altro malware o per trafugare credenziali e inviarle al server di comando e controllo.
- Loki, o Loki-Bot, è un malware che ruba informazioni puntando a credenziali e password su circa 80 programmi, inclusi tutti i browser, i client di posta elettronica e i programmi di controllo remoto e di condivisione dei file. Viene utilizzato dagli aggressori informatici dal 2016 e resta tuttora un metodo molto diffuso per trafugare credenziali e accedere ai dati personali.
- Krypton Stealer ha fatto la sua prima comparsa all’inizio del 2019 e viene venduto sui forum esteri sotto forma di MaaS (Malware-as-a-Service), per soli 100 dollari di criptovaluta. Punta alle macchine che eseguono versioni di Windows dalla 7 in su per rubare le credenziali senza aver bisogno di diritti amministrativi. Questo malware prende di mira anche i numeri di carta di credito e altri dati sensibili conservati nei browser, come la cronologia di navigazione, i dati di auto-compilazione, gli elenchi di download, i cookie e la cronologia di ricerca.
- Nel 2017, il malware Triton ha paralizzato il funzionamento di un’infrastruttura critica in Medio Oriente, in uno dei primi attacchi malware di questo tipo mai registrati. Il malware è così chiamato a causa dei sistemi che prende di mira: i controller SIS (Safety Instrumented System) Triconex. Questi sistemi vengono utilizzati per arrestare centrali nucleari e impianti petroliferi in caso di problemi come guasti di apparecchiature, esplosioni o incendi. Triton è progettato per disabilitare questi meccanismi di sicurezza, e può causare attacchi fisici alle infrastrutture critiche e possibili vittime umane.
Come mitigare i rischi causati dal malware
Per rafforzare la protezione e il rilevamento dei malware senza pregiudicare la produttività aziendale, le organizzazioni attuano spesso le seguenti contromisure:
- Utilizzo di strumenti anti-virus, per proteggersi dai malware più noti e diffusi.
- Utilizzo di tecnologie di rilevamento e reazione presso l’endpoint, per monitorare e reagire continuamente agli attacchi malware e ad altre minacce informatiche sulle macchine degli utenti finali.
- Rispetto delle buone pratiche di patching delle applicazioni e dei sistemi operativi (SO).
- Implementazione del principio dei privilegi minimi e dell’accesso just-in-time, per elevare i privilegi degli account per specifiche attività autorizzate, in modo da mantenere la produttività degli utenti senza concedere privilegi non indispensabili.
- Eliminazione dei diritti da amministratore locale dagli account utente standard, per ridurre la superficie di attacco.
- Implementazione di policy di “greylisting” delle applicazioni sugli endpoint utente, per impedire a quelle sconosciute, come le nuove istanze di malware, di accedere a Internet e ottenere i permessi di lettura, scrittura e modifica richiesti per crittografare i file.
- Applicazione di policy di “whitelisting” ai server, per massimizzare la sicurezza di questi asset.
- Esecuzione frequente e automatica del backup dei dati degli endpoint e dei server, per consentire l’efficace recupero dai disastri.
Maggiori informazioni sul malware
- Endpoint Privilege Manager
- CyberArk Labs: Ransomware
- Anatomia dell’attacco effettuato dal malware Triton
- Malware, errori e contromisure significative per proteggere l’infrastruttura critica
- Un Pony nascosto nel tuo giardino segreto
- Loki numero sette: Il malware Loki continua a trafugare le tue credenziali