Un worm, letteralmente "verme", è un tipo di malware la cui funzione principale è quella di autoreplicarsi ed infettare i terminali target rimanendo attivo sui sistemi infetti.
Un worm ha la capacità di duplicarsi per estendere la propria infezione a computer non infetti e, spesso, tale procedura avviene sfruttando processi automatici in background del tutto invisibili agli utenti.
Non è insolito che i worm vengano rilevati soltanto quando la loro replicazione incontrollata inizia a consumare ingenti quantità di risorse del sistema ospitante, rallentando anche i task più comuni o interrompendo l'esecuzione di alcuni processi.
Come operano i worm?
Non di rado per propagarsi i worm si basano sulle vulnerabilità dei protocolli di rete.
Dopo che un worm termina il suo caricamento, e ha iniziato ad operare in un dispositivo infetto, rimane attivo con l'obbiettivo di raggiungere il maggior numero possibile di sistemi vulnerabili.
A questo proposito è possibile citare il worm ransomware chiamato WannaCry che per diffondersi ha sfruttato una vulnerabilità presente nella prima versione del protocollo di condivisione delle risorse Server Message Block (SMBv1) in Windows.
Una volta attivo su un terminale, WannaCry avvia una ricerca in rete di nuovi target potenziali, cioè sistemi che rispondono alle richieste SMBv1 generate dal worm. Esso continua quindi a propagarsi all'interno di un network attraverso i client individuati.
I worm possono anche essere "mascherati" per presentarsi agli utenti e ai sistemi come delle risorse non minacciose, in questo caso qualsiasi file o collegamento ipertestuale potrebbe rivelarsi un veicolo di infezione.
Come si diffondono i worm?
Mentre alcuni worm richiedono una specifica azione da parte di un utente per propagarsi, ad esempio il clic su un link, altri possono diffondersi facilmente senza alcuna interazione. È infatti sufficiente che un worm diventi attivo in un sistema perché l'infezione si estenda alle altre postazioni di una rete.
Prima dell'uso diffuso delle reti i worm informatici venivano distribuiti attraverso supporti di archiviazione infetti, come i floppy disk, che, quando montati su un sistema, infettavano altri dispositivi di archiviazione collegati al terminale target.
Oggi le unità USB sono ancora un vettore comune per i worm informatici, così come le attività su Internet come e-mail, le chat e la navigazione Web.
I worm più pericolosi
Nel corso degli anni gli esperti di Cybersecurity hanno dovuto fronteggiare alcuni worm dotati di una capacità di diffusione tale da attrarre l'attenzione dei media, esaminiamo quindi i casi più noti analizzandone le caratteristiche e descrivendone gli effetti sulle infrastrutture coinvolte.
Morris
Rilasciato nel corso del 1988, Morris è considerato uno dei primi worm in grado di diffondersi attraverso il Web.
A scriverne il codice è stato Robert Tappan Morris Jr., uno studente della Cornell University che, stando a quanto riferito a suo tempo, aveva in progetto di enumerare tutti i sistemi collegati al network precursore di Internet, ARPANET.
Il worm Morris non venne quindi creato con intenti malevoli, ma essendo stato concepito involontariamente per sfruttare alcune vulnerabilità presenti nel mail server Sendmail di Unix, sarebbe stato in grado di scatenare un attacco di tipo DoS (Denial of Service) coinvolgendo circa il 10% dei 60.000 sistemi allora ritenuti connessi ad ARPANET.
ILOVEYOU
ILOVEYOU è stato uno dei worm informatici più dannosi di sempre, venne lanciato nel 2000 e si propagò attraverso allegati di posta elettronica che venivano presentati sotto forma di file di testo, script eseguiti in sessioni di chat IM ed eseguibili associati ai nomi di comuni file di sistema.
La tecnica di diffusione del worm prevedeva che una volta aperto l'allegato, la cui vera estensione non era visibile per via di un bug di Windows, esso venisse inviato a tutti i contatti della vittima registrati sul client email OutLook.
ILOVEYOU sarebbe riuscito ad infettare fino a 45 milioni di terminali in seguito al rilascio avvenuto il 4 maggio 2000, il suo raggio d'azione si estese così rapidamente che alcune aziende furono costrette a bloccare temporaneamente i propri servizi di posta elettronica.
Stuxnet
Stuxnet è un worm per la condivisione di file identificato per la prima volta nel 2010.
I ricercatori di sicurezza impegnati a fronteggiarne la diffusione ipotizzarono che Stuxnet fosse stato creato dalle agenzie di intelligence statunitensi e israeliane per interferire sulle iniziative del governo iraniano dedicate alle implementazioni dell'energia nucleare.
Stuxnet venne introdotto tramite un supporto di memoria USB nei sistemi della centrale nucleare di Natanz, con lo scopo di interferire sul funzionamento delle centrifughe sfruttando alcune vulnerabilità di Windows.
WannaCry
Il ransomware WannaCry utilizza un worm per infettare i computer Windows e crittografare i file archiviati sui dischi rigidi dei terminali target.
Ha iniziato a diffondersi nel maggio del 2017 colpendo poi centinaia di migliaia di computer in circa 150 paesi. I suoi obiettivi includevano grandi aziende, banche, università, ospedali e infrastrutture critiche.
Una volta che i file venivano cifrati gli attaccanti si mettevano in contatto con il loro proprietario richiedendo il pagamento di un riscatto in cambio di una chiave con cui decrittografare i dati.
Tuttavia anche dopo il pagamento le chiavi sarebbero state effettivamente consegnate soltanto a poche vittime.
I ricercatori di sicurezza hanno collegato l'attacco alla crew chiamata Lazarus Group, un gruppo affiliato al regime della Corea del Nord.
WannaCry ha causato in diversi casi perdite finanziaria significative per le vittime, la sua diffusione è stata però rallentata quando il ricercatore Marcus Hutchins capì che la sua propagazione poteva essere bloccata abilitando un indirizzo Web riferito ad un dominio non ancora registrato.
Tale URL veniva invocato direttamente da WannaCry che, in assenza di una risposta, continuava ad operare. È quindi possibile che il blocco del worm sia stato legato alla registrazione del dominio dagli stessi creatori del worm.
Esempi di worm
Esistono diverse versioni di un worm informatico, analizziamo quelle più diffuse.
Worm via e-mail
I worm che si diffondono via e-mail funzionano creando e inviando messaggi a tutti gli indirizzi presenti nell'elenco dei contatti di un utente.
Tali messaggi includono solitamente un file eseguibile che infetta il sistema target quando il destinatario lo avvia aprendo un allegato.
Generalmente i worm di posta elettronica che conducono i propri attacchi con maggior successo sfruttano tecniche di social engineering e phishing per incoraggiare gli utenti ad aprire gli allegati.
Un esempio di social engineering può essere rappresentato dal dipendente di un'azienda che crede di aver ricevuto per email una direttiva da parte della dirigenza.
Worm per la condivisione di file
I worm per la condivisione di file sono in genere eseguibili "mascherati" da comuni documenti, risultano quindi particolarmente insidiosi quando rivolti contro delle organizzazioni o delle infrastrutture critiche.
A questo proposito Stuxnet, uno dei worm informatici fino ad oggi più noti, è suddivisibile in due componenti:
- un worm con cui propagare un malware attraverso dispositivi USB infettati;
- un malware che prende di mira i sistemi di controllo, di monitoraggio e acquisizione dei dati.
I worm per la condivisione di file sono ampiamente utilizzati per colpire nel contesto degli ambienti industriali, inclusi i servizi energetici, i sistemi di approvvigionamento idrico e gli impianti di depurazione.
Criptoworm
I criptoworm hanno l'obbiettivo di istallare delle backdoor e di utilizzare le risorse di un terminale per il mining delle criptovalute.
Uno dei rischi maggiori derivanti dai criptoworm è il sovrautilizzo dell'hardware le cui prestazioni potrebbero degradare rapidamente, senza contare possibili fenomeni di surriscaldamento in grado di abbreviare il ciclo di vita di componenti come la GPU.
Worm di Internet
Alcuni worm informatici prendono di mira specificamente siti Web molto popolari, soprattutto quando non sufficientemente performanti dal punto di vista della Cybersecurity.
La loro azione malevola parte dalla compromissione di un sito Internet con lo scopo di infettare i terminali utilizzati per accedere ad esso in fase di navigazione, fatto questo è possibile che l'infezione si estenda a tutte le postazioni che entrano in comunicazione con essi.
Worm di messaggistica istantanea
Come i worm che si diffondono via e-mail, i worm di messaggistica istantanea sono generalmente "mascherati" da allegati o collegamenti ipertestuali.
Anche in questo caso l'ampliamento della superficie di attacco avviene coinvolgendo tutti i contatti presenti nella rubrica degli utenti i cui terminali sono stati infettati.
Come rilevare un worm
Rilevare la presenza di un worm può rivelarsi una procedura complessa, in ogni caso esistono dei "sintomi" che indicano la presenza di un worm all'interno di un sistema:
- problemi di prestazioni del computer, con larghezza di banda per la connessione e risorse computazionali limitate senza alcuna spiegazione apparente.
- Blocco inaspettato o arresto anomalo del sistema.
- Comportamenti insoliti del sistema, inclusi programmi eseguiti o terminati senza l'interazione dell'utente.
- Suoni, immagini o messaggi insoliti.
- La comparsa improvvisa di file o icone o la loro scomparsa inattesa.
- Messaggi di avviso dal sistema operativo o dal software antivirus.
- Messaggi di posta elettronica inviati senza alcun intervento da parte del mittente.
Come prevenire le infezioni da worm informatici
Le misure che aiutano a prevenire o a limitare la minaccia di infezioni da worm informatici includono:
- l'installazione degli aggiornamenti del sistema operativo e delle patch per i software utilizzati.
- L'uso di firewall per ridurre l'accesso ai sistemi da parte di software dannoso.
- L'utilizzo di un software antivirus per impedire l'esecuzione di software dannoso.
- Evitare clic su allegati o collegamenti sospetti nelle e-mail o in applicazioni di messaggistica.
- Usare la crittografia per proteggere i dati sensibili archiviati sui computer, server e dispositivi mobili.
Sebbene alcuni worm siano progettati esclusivamente per propagarsi sui terminali target, la maggior parte dei worm sono associati a virus, rootkit o altri software dannosi che possono causare danni al sistema e ai dati.
La rimozione di un worm può rivelarsi anche molto difficile. In casi estremi potrebbe essere necessario riformattare il sistema e procedere con la reinstallazione di tutto il software a corredo.
Prima di tentare di rimuovere un worm il sistema deve essere disconnesso da Internet o da qualsiasi rete, cablata o wireless.
È necessario inoltre rimuovere eventuali dispositivi di archiviazione non permanenti, come per esempio un disco rigido USB o esterno, e scansionarli separatamente tramite un antivirus per individuare eventuali infezioni.
