Cos’è un Malware? Come riconoscerli, rimuoverli e proteggersi
Cos’è un Malware
In questo articolo tratteremo un tema ormai più che noto, ma forse per certi aspetti ancora sottovalutato.
Il Malware.
Cos’è un malware? Come ci proteggiamo?
Con il termine malware ci si riferisce a qualsiasi software progettato con intenti dannosi: in genere un file eseguibile che mira a danneggiare, distruggere o rubare dati, assumere il controllo dei computer e aiutare nell’attività criminale.
Esistono molti tipi di malware, ognuno creato per uno scopo ben preciso. Questo tipo di minaccia ha una lunga storia sul PC, con il primo esempio noto che risale al 1971, quando fu creato un virus chiamato Creeper.
Storicamente, i computer Windows sono considerati i più a rischio di malware, non perché Mac e Linux siano significativamente più sicuri, ma perché la stragrande maggioranza dei computer esegue Windows e quindi hacker e criminali tendono a prendere di mira quei sistemi per mere motivazioni numeriche.
I tipi di Malware
Data la varietà di tipi di malware e l’enorme numero di varianti rilasciate quotidianamente, una cronologia completa comprenderebbe un elenco troppo lungo.
Dare però uno sguardo alle tendenze del malware negli ultimi decenni è sicuramente possibile.
Se malware è un termine generico, possiamo elencare i tipi di minacce più comuni, da cui è più probabile si possa essere infettati.
- Virus: molte persone si riferiscono erroneamente a tutti i malware come virus, ma in realtà un virus è solo un tipo di malware, anche se molto comune. Un virus è un malware con la capacità di replicarsi.
- Ransomware: il ransomware è diventato una delle forme più potenti e comuni di malware nell’ultimo decennio: crittografa tutti i file su un computer e richiede un riscatto per sbloccarli.
- Worm: simile a un virus, un worm informatico si replica, ma lo fa automaticamente, senza alcuna necessità di interazione umana.
- Spyware: questo tipo di malware ruba informazioni sensibili dal PC e le invia a terzi a insaputa della vittima.
- Adware: l’adware è un caso interessante: non tutti gli adware si qualificano tecnicamente come malware, anche se tecnicamente non desiderati.
Esistono usi legittimi per gli adware, che promuovono annunci pubblicitari sul computer, sebbene alcuni siano effettivamente dannosi e potenzialmente pericolosi.
- Trojan: il software Trojan è un esempio del fatto che molti tipi di malware possono avere le caratteristiche di più di un tipo di malware contemporaneamente.
Il software trojan è progettato per apparire innocuo, spesso mascherato da un software legittimo fino a quando non viene installato e attivato, momento in cui il payload dannoso entra in azione.
Anche praticamente qualsiasi altro tipo di malware, inclusi virus, ransomware e spyware, può essere un trojan.
- Scareware: lo scareware è un altro esempio di malware che spesso accompagna altri payload di malware. Ironia della sorte, virus e worm spesso si mascherano da software antivirus e visualizzano pop-up che dicono che il computer è stato infettato da malware.
I pop-up consigliano di scaricare un programma specifico per inoculare il PC. Ma questo è un malware aggiuntivo, che danneggerà ulteriormente il sistema.
Come si prendono i malware?
In passato, prima della diffusione pervasiva del web, malware e virus si consegnavano manualmente, fisicamente, tramite floppy disc o CD Rom.
In molti casi, il malware viene ancora distribuito utilizzando un dispositivo esterno, anche se al giorno d’oggi è più probabile che venga distribuito da un’unità flash o da una chiavetta USB.
Tuttavia, più comune è il malware recapitato in un’e-mail di phishing con payload distribuiti come allegato e-mail.
La qualità dei tentativi di e-mail di spam varia notevolmente: alcuni sforzi per fornire malware implicheranno agli aggressori uno sforzo minimo, forse persino l’invio di un’e-mail contenente nient’altro che un allegato denominato in modo casuale.
In questo caso, gli aggressori sperano di imbattersi in qualcuno abbastanza ingenuo da andare avanti e fare clic su allegati o collegamenti e-mail senza pensarci e senza aver installato alcun tipo di protezione.
Una forma leggermente più sofisticata di invio di malware tramite un’e-mail di phishing è quando gli aggressori inviano grandi quantità di messaggi, affermando vincite di concorsi fasulli.
Questo spinge l’utente a controllare il proprio conto bancario online, oppure controllare una consegna, etc.
Di questi tempi corrono molto le citazioni in tribunale, che invitano ad aprire un allegato e-mail o un collegamento per ottenere maggiori informazioni.
Questo attiva il malware, in modo particolare ransomware e trojan.
Se gli aggressori hanno in mente un obiettivo specifico, l’e-mail di phishing può essere specificamente adattata per attirare persone all’interno di un’organizzazione o anche solo un individuo.
Tuttavia, esistono molti altri modi di diffusione del malware che non richiedono l’intervento dell’utente finale, attraverso reti e altre vulnerabilità del software.
I sistemi Mac sono soggetti alle stesse vulnerabilità (e conseguenti sintomi di infezione) delle macchine Windows e non possono essere considerati immuni. Ad esempio, la protezione integrata di macOS contro il malware non blocca tutti gli adware e gli spyware associati a download fraudolenti di applicazioni.
Anche trojan e keylogger sono minacce.
Il primo rilevamento di ransomware per Mac si è verificato nel marzo 2016, quando un attacco fornito da trojan ha colpito più di 7000 utenti.
Vari fornitori hanno rilevato più malware per Mac nel 2017 rispetto a qualsiasi anno precedente.
Alla fine del 2017, il numero di nuove minacce uniche era superiore di oltre il 270% rispetto al numero rilevato nel 2016.
In termini di dispositivi, se oramai c’è poca differenza tra macchine Windows e macOS, è chiaro che il boom dei dispositivi mobili abbia aumentato anche le minacce indirizzate a tali device.
Ma non solo: se qualcosa è connesso a Internet, è una potenziale via di attacchi informatici.
Quindi, anche lo scenario dell’IoT diventa interessante, dal punto di vista degli attaccanti, che hanno trovato nuovi varchi di ingresso in reti e infrastrutture.
Dispositivi come router, sistemi di illuminazione intelligenti, videoregistratori e telecamere di sorveglianza possono essere facilmente infettati e il danno finale può essere molto grave, come dimostrato dal caso della botnet Mirai, che viene alimentata periodicamente, oramai da anni.
I criminali di malware adorano il mercato della telefonia mobile.
Dopotutto, gli smartphone sono computer portatili sofisticati e complessi e offrono un tesoro di informazioni personali, dettagli finanziari e ogni sorta di dati preziosi per coloro che cercano di guadagnare dal crimine informatico.
Questo panorama ha generato un numero esponenzialmente crescente di tentativi dannosi di sfruttare le vulnerabilità degli smartphone.
Da adware, trojan, spyware, worm e ransomware, il malware può penetrare nel telefono in diversi modi. Fare clic su un collegamento sospetto o scaricare un’app inaffidabile sono alcune cause.
Ma si può essere infettati anche tramite e-mail, messaggi e persino da un file trasferito via Bluetooth. Inoltre, malware come i worm possono diffondersi da un telefono infetto a un altro senza alcuna interazione da parte dell’utente.
Come capire se hai preso un malware
Il malware assume molte forme, ma i segni e i sintomi di un’infezione sono spesso gli stessi.
Se si nota che il computer inizia improvvisamente a funzionare molto più lentamente o il disco rigido gira molto più frequentemente, potrebbe essere in corso un’infezione.
Allo stesso modo, arresti anomali più frequenti, non previsti, sono un effetto collaterale di un malware mal progettato.
Anche la comparsa di molte finestre pop-up può indicare la presenza di un malware. I motivi più comuni per i pop-up sono adware, scareware e ransomware.
C’è una buona possibilità di un’infezione se si scoprono nuovi processi in esecuzione sul PC che potrebbero persino inserirsi nel processo di avvio di Windows.
Il malware è spesso progettato per dirottare la posta elettronica per inviare e-mail non richieste ai contatti. Ogni e-mail contiene probabilmente un collegamento o un allegato con una copia del malware stesso.
Un altro sintomo dell’infezione si ha quando ci si accorge di aver perso l’accesso ai file o all’intero computer.
Questo è sintomatico di un’infezione da ransomware.
Gli hacker si annunciano lasciando una richiesta di riscatto sul desktop o modificando lo sfondo del desktop stesso in una nota di riscatto. Nella nota, gli autori in genere informano che i dati sono stati crittografati e richiedono un pagamento di riscatto in cambio della decrittografia dei file.
Anche se tutto sembra funzionare bene sul sistema, non è detto che non ci sia un malware, che può nascondersi in profondità nel computer, eludendo il rilevamento e svolgendo i suoi affari sporchi senza sollevare alcuna preoccupazione.
Un campanello d’allarme è quando c’è uno strano aumento dell’attività Internet del sistema.
Prendiamo i trojan come esempio.
Una volta che un trojan arriva su un computer bersaglio, la cosa successiva che fa è raggiungere il server di comando e controllo (C&C) dell’attaccante per scaricare un’infezione secondaria, spesso ransomware.
Questo potrebbe spiegare il picco di attività su Internet. Lo stesso vale per botnet, spyware e qualsiasi altra minaccia che richieda comunicazioni avanti e indietro con i server C&C.
Come eliminare i malware
Il malware è molto più facile da estirpare oggi rispetto a 10 o 20 anni fa perché i sistemi sono molto più sicuri e gli strumenti per combatterlo, migliori.
Sono tre i passaggi base da seguire per rimuovere il malware dal dispositivo.
1) Scaricare e installare un buon programma di sicurezza informatica, magari uno che permette, con la stessa licenza, di gestire sia Windows che Mac, Android e iPhone.
2) Eseguire una scansione utilizzando il programma.
Molte versioni gratuite consentono di individuare il malware ma non di rimuoverlo. Però già questo è un buon passo per capire se si è infetti.
3) Rimossa la minaccia, bisogna cambiare tutte le password più usate.
Si tratta di rivedere le impostazioni di sicurezza non solo del PC o dispositivo mobile, ma anche di e-mail, account di social media, siti di shopping preferiti e online banking.
Questo può sembrare paranoico, ma con spyware, trojan bancari e simili, non si ha mai la certezza di quali dati siano stati acquisiti prima di fermare l’infezione. Come sempre, meglio usare una qualche forma di autenticazione a più fattori (almeno a due fattori) e un gestore di password.
Aggiungiamo un quarto punto, semplice ma a volte scontato, che risponde alla domanda “Come ci proteggiamo da un malware?”: con la PREVENZIONE.
I nostri specialisti sviluppano soluzioni di sicurezza, facendo sì che la prevenzione e la protezione siano di centrale importanza.
Come proteggersi dai malware
Come proteggersi dunque da un malware?
Alcune delle pratiche di sicurezza informatica più basilari possono fare molto per proteggere i sistemi e i loro utenti dal cadere vittima di malware.
Il semplice fatto di garantire che il software sia aggiornato e che tutti gli aggiornamenti del sistema operativo vengano applicati il più rapidamente possibile dopo il rilascio contribuirà a proteggere dagli attacchi che utilizzano exploit noti.
Di volta in volta, i ritardi nell’applicazione delle patch hanno portato le organizzazioni a cadere vittime di attacchi informatici. Questi avrebbero potuto essere prevenuti se le correzioni fossero state applicate al rilascio.
Uno dei motivi per cui il servizio sanitario nazionale del Regno Unito è stato così gravemente colpito dall’epidemia di WannaCry è stato perché, nonostante gli avvertimenti, centinaia di sistemi sanitari utilizzavano ancora versioni non “patchate” di Windows XP.
Queste sono le semplici regole da seguire:
Mantieni aggiornato il tuo computer
Assicurati di utilizzare una sorta di software anti-malware.
Può essere il tool di sicurezza integrato sul computer o direttamente su smartphone e tablet che oramai ospitano già strumenti basilari per il controllo delle infezioni più comuni.
Non fare clic su nulla di cui non ti fidi
Infine, questo consiglio è importante oggi come lo era nel 1997: non fare mai clic su qualcosa di cui non ti fidi completamente.
Pensa a ogni collegamento su cui fai clic, a ogni allegato che apri e a ogni programma che scarichi da Internet. Se la sua legittimità sembra discutibile, non correre il rischio.
Ultimi post
- Intranet aziendale
- Sprint Execution
- Network Access Control
- Container as a Service
- Red team e Blue team
Categorie
Tag