Che cos'è un malware?
Un Malware, o "software dannoso", è un termine generico che descrive qualsiasi programma o codice che possa generare un danno a carico di sistemi informatici.
Ostile, invadente e intenzionalmente dannoso, il malware cerca di invadere, compromettere o disabilitare computer, sistemi informatici, reti, tablet e dispositivi mobili, spesso assumendo il controllo parziale delle operazioni di un dispositivo.
I motivi alla base della diffusione di un malware possono riguardare un guadagno economico, sabotare la capacità di portare a termine un lavoro, formulare una dichiarazione politica e molto altro.
Sebbene un malware non possa danneggiare l'hardware dei sistemi o delle apparecchiature di rete, può sottrarre, crittografare o eliminare i tuoi dati, alterare o dirottare le funzioni principali del computer e spiare l'attività di un terminale a tua insaputa o senza autorizzazione.
Ecco perché in queste lezioni impareremo a riconoscere i principali malware che possono intaccare la sicurezza di un device, a casa o al lavoro.
Come ottengo un malware?
Prima di procedere, è bene fare un’ulteriore precisazione sui due modi più comuni con cui un malware accede al tuo sistema: Internet e posta elettronica. In pratica, ogni volta che sei connesso online sei vulnerabile.
Il malware può penetrare nel tuo computer quando navighi attraverso siti Web compromessi, visualizzi un sito legittimo che pubblica annunci dannosi, effettui il download di file infetti, installi programmi o App da fornitori sconosciuti, apri un allegato e-mail o attraverso tutto quello che scarichi dal Web su un dispositivo privo di un'applicazione di sicurezza anti-malware di qualità.
Le App dannose possono nascondersi in applicazioni apparentemente legittime, soprattutto quando vengono scaricate da siti Web o collegamenti diretti in un messaggio di posta elettronica, testo o chat anziché da un App store ufficiale.
Qui diventa importante esaminare i messaggi di avviso durante l'installazione delle applicazioni, soprattutto se richiedono l'autorizzazione per accedere alla tua posta elettronica o ad altre informazioni personali.
In conclusione, è meglio attenersi a fonti attendibili per le App mobile, installando solo titoli di terze parti affidabili e scaricando sempre le App direttamente dal fornitore e mai da un’altra piattaforma.
Ricorda sempre che gli attacchi malware non funzionerebbero senza l'ingrediente più importante: tu!
Come riconoscere un'infezione da malware?
U malware può rivelarsi attraverso comportamenti diversi. Ecco alcuni segnali rivelatori della presenza di malware nel sistema:
- il tuo computer rallenta. Uno degli effetti collaterali del malware è ridurre la velocità del sistema operativo, sia che tu stia navigando in Internet o semplicemente utilizzando applicazioni locali, l'utilizzo delle risorse del sistema appare anormalmente elevato. Potresti anche notare che la ventola del computer ronza alla massima velocità, un buon indicatore che qualcosa sta assorbendo risorse di sistema in background. Questo tende a succedere quando il computer è stato collegato a una botnet, vale a dire una rete di computer utilizzati per eseguire attacchi DDoS, diffondere spam o minare criptovaluta.
- Lo schermo è inondato di pubblicità fastidiose. Gli annunci pop-up imprevisti sono un tipico sintomo di un'infezione da malware e vengono solitamente associati a una forma di malware nota come adware. Inoltre i pop-up di solito vengono forniti con altre minacce malware nascoste. Quindi, se vedi qualcosa di simile a "CONGRATULAZIONI, HAI VINTO UNA LETTURA PSICHICA GRATUITA!" in un pop-up, non cliccare su di esso. Qualunque sia il premio gratuito che l'annuncio promette, ti costerà più di quanto pensi.
- Il sistema va in crash. Questo può verificarsi come un blocco o un BSOD (Blue Screen of Death) sui sistemi Windows dopo aver riscontrato un errore irreversibile.
- Noti una misteriosa perdita di spazio su disco. Ciò potrebbe essere dovuto a un malware ingombrante, nascosto nell'hard disk, noto anche come bundleware.
- Si nota uno strano aumento nell'attività Internet del tuo sistema. Prendi ad esempio i trojan, una volta che un trojan entra in un computer di destinazione contatta il server di comando e controllo (C&C) dell'attaccante per scaricare un'infezione secondaria, spesso un ransomware. Questo potrebbe spiegare il picco dell'attività su Internet. Lo stesso vale per botnet, spyware e qualsiasi altra minaccia che richieda una comunicazione con i server C&C.
- Le impostazioni del browser cambiano. Se noti che la home page è cambiata o hai nuove barre degli strumenti, estensioni o plug-in installati, potresti avere una sorta di infezione da malware. Le cause variano, ma questo di solito significa che cliccato su quel pop-up "congratulazioni" che ha scaricato del software indesiderato.
- L'antivirus smette di funzionare e non puoi riavviarlo, lasciandoti non protetto dal malware che lo ha disabilitato.
- Perdi l'accesso ai file o all'intero computer. Questo è sintomatico di un'infezione ransomware. Gli hacker si annunciano lasciando una richiesta di riscatto sul Desktop o modificandone lo sfondo con una richiesta di riscatto (vedi GandCrab). Nella nota, gli autori di solito informano che i dati sono stati crittografati e richiedono un riscatto in cambio della decrittografia dei file.
Anche se tutto sembra funzionare bene sul sistema non accontentarti, perché nessuna notizia non è necessariamente una buona notizia. Un potente malware può nascondersi in profondità nel computer, eludendo il rilevamento e svolgendo i suoi affari sporchi senza destare alcun sospetto.
Quali sono le minacce informatiche più comuni?
Prima di addentrarci nella specifica di ognuno, ecco un riassunto delle tipologie minacce infomratiche che andremo ad analizzare nel dettaglio durante le prossime lezioni:
L'adware è un software indesiderato progettato per visualizzare annunci pubblicitari sullo schermo, il più delle volte all'interno di un browser Web. In genere utilizza un metodo subdolo per apparire legittimo o appoggiarsi ad un altro programma per indurti a installarlo su PC, tablet o dispositivo mobile.
Lo spyware è un malware che osserva segretamente le attività dell'utente, senza autorizzazione, e comunica dati all'autore del software.
Un virus è un malware che si associa a un altro programma e quando viene eseguito, di solito inavvertitamente dall'utente, replica sé stesso modificando altri programmi infettandoli.
I worm sono un tipo di malware simile ai virus. Come i virus vengono replicati automaticamente. I worm possono però diffondersi da soli attraverso i sistemi, mentre i virus richiedono una sorta di azione da parte dell'utente per avviare l'infezione.
Un Trojan , o cavallo di Troia, è uno dei tipi di malware più pericolosi. Di solito si presenta come qualcosa di utile per ingannare la vittima. Una volta che è nel sistema gli aggressori ottengono l'accesso non autorizzato al computer. Da qui possono essere utilizzati per sottrarre informazioni sensibili o installare altre forme di malware come i ransomware.
Il ransomware è una forma di malware che blocca l'accesso ad un dispositivo e/o crittografa i file, costringe quindi a pagare un riscatto per riottenere accesso e dati. Il ransomware è stato definito l'arma preferita dai criminali informatici perché richiede un pagamento rapido e redditizio in criptovalute difficili da rintracciare. Il codice alla base del ransomware è facile da ottenere attraverso i mercati criminali online e difendersi da esso è molto difficile. Mentre gli attacchi ransomware ai singoli consumatori sono al momento in diminuzione, quelli contro le aziende sono aumentati, ad esempio, il ransomware Ryuk prende di mira specificamente le organizzazioni di alto profilo che hanno maggiori probabilità di pagare riscatti ingenti
Il rootkit è una forma di malware che fornisce all'attaccante i privilegi di amministratore sul sistema infetto, noto anche come accesso "root". In genere viene progettato anche per rimanere nascosto all'utente, ad altri software sul sistema e al sistema operativo stesso.
Un keylogger è un malware che registra tutte le digitazioni dell'utente sulla tastiera memorizzando le informazioni raccolte e inviandole ad attaccante alla ricerca di informazioni sensibili come nomi utente, password o dettagli di cartee di credito.
Il cryptomining dannoso, a volte chiamato anche drive-by mining o cryptojacking, è sempre più diffuso e solitamente viene installato da un Trojan. Consente di utilizzare un computer per minare criptovalute come Bitcoin. I cryptominer inviano le monete raccolte sul proprio account e non sul tuo, in sostanza esso sottrae le risorse del tuo device per guadagnare.
Gli exploit sono sfruttano i bug e le vulnerabilità di un sistema per consentire all'attaccante di accedere ad esso. In questo modo l'attaccante potrebbe rubare i tuoi dati o rilasciare una qualche forma di malware. Un exploit zero-day si riferisce a una vulnerabilità per la quale al momento non sono disponibili difese o soluzioni.
