Che cos'è il malware?

Scopri di più sul malware, su come funziona e su come puoi proteggere te stesso e la tua azienda da questo tipo di cyberattacco.

Definizione di malware

Con malware si intendono applicazioni dannose o codici che compromettono o interrompono il normale utilizzo dei dispositivi endpoint. Quando un dispositivo viene infettato da un malware, puoi riscontrare problemi quali accesso non autorizzato, dati compromessi o blocco del dispositivo (che verrà riattivato solo pagando un riscatto).

 

Le persone che distribuiscono malware, ovvero i criminali informatici, sono spinte dal desiderio di guadagnare denaro e usano i dispositivi infetti per lanciare attacchi, ad esempio per ottenere credenziali bancarie, raccogliere informazioni personali che possano essere vendute, vendere l'accesso alle risorse di elaborazione o estorcere informazioni di pagamento dalle vittime.

Come funziona il malware?

Il malware sfrutta l'inganno per impedire il normale utilizzo di un dispositivo. Quando un criminale informatico ottiene l'accesso al tuo dispositivo tramite una o più tecniche (ad esempio, messaggio di posta elettronica di phishing, file infetto, vulnerabilità di sistema o software, unità flash USB infetta o sito Web dannoso), sfrutta al meglio la situazione lanciando ulteriori attacchi, ottenendo credenziali dell'account, raccogliendo informazioni personali da vendere, vendendo l'accesso alle risorse di elaborazione o estorcendo denaro alle vittime.

 

Chiunque può essere vittima di un attacco malware. Anche se alcune persone potrebbero sapere come riconoscere certe tattiche utilizzate dagli hacker per cercare di colpire le loro vittime con malware, ad esempio sapendo come identificare un'e-mail di phishing, i criminali informatici sono esperti e migliorano costantemente i loro metodi per stare al passo con i miglioramenti della sicurezza e della tecnologia. Inoltre, gli attacchi malware risultano e si comportano in modo diverso a seconda del tipo di malware. Una vittima di un attacco basato su rootkit, ad esempio, potrebbe addirittura non esserne a conoscenza, perché questo tipo di malware è progettato per avere un profilo basso e non farsi notare il più a lungo possibile.

 

Ecco alcuni modi con cui i criminali informatici tentano di distribuire malware nei dispositivi.

Tipi di malware

Esistono molte forme di malware: ecco alcuni tipi comuni.

  • Phishing

    Un attacco di phishing è un tipo di truffa attraverso la quale un malintenzionato finge di essere una fonte attendibile per rubare informazioni sensibili tramite e-mail, siti Web, SMS o altre forme di comunicazione elettronica. Questi attacchi forniscono un meccanismo di distribuzione per il malware. Gli attacchi comuni rubano nomi utente, password, dettagli relativi alle carte di credito e informazioni bancarie. Questi tipi di attacchi malware possono essere causa di furto d'identità o sottrazione di denaro direttamente dalla carta di credito o dal conto bancario di qualcuno.

     

    Ad esempio, un criminale informatico potrebbe fingere di essere una banca nota e inviare un'e-mail per avvisare qualcuno che il suo conto è stato bloccato per il rilevamento di attività sospetta, spingendo la vittima a fare clic su un collegamento nell'e-mail per risolvere il problema. Dopo aver selezionato il collegamento, il malware viene installato.

  • Spyware

    Lo spyware funziona installandosi in un dispositivo senza il consenso di qualcuno o senza fornire un adeguato preavviso. Una volta installato, può monitorare il comportamento online, raccogliere informazioni sensibili, cambiare le impostazioni del dispositivo e ridurre le prestazioni del dispositivo.

  • Adware

    Come lo spyware, anche l'adware si installa in un dispositivo senza il consenso di qualcuno. Tuttavia, nel caso dell'adware il focus è sulla visualizzazione di contenuti pubblicitari aggressivi, spesso sotto forma di popup, per guadagnare denaro con i clic sulle inserzioni. Questi annunci spesso rallentano le prestazioni di un dispositivo. Altri tipi di adware dannosi possono anche installare ulteriori software, cambiare le impostazioni del browser e rendere un dispositivo vulnerabile ad altri attacchi malware.

  • Virus

    I virus sono progettati per interferire con il normale funzionamento di un dispositivo registrando, corrompendo o eliminando i suoi dati. Spesso si diffondono in altri dispositivi inducendo con l'inganno le persone ad aprire file dannosi.

  • Exploit ed exploit kit

    Gli exploit sfruttano le vulnerabilità del software per superare le misure di protezione di un computer e infettare un dispositivo. Gli hacker cercano sistemi non aggiornati che contengono vulnerabilità critiche, per poi sfruttarle distribuendo il malware. Includendo uno shellcode in un exploit, i criminali informatici possono scaricare altro malware che infetti i dispositivi e si infiltri nelle organizzazioni.

     

    Gli exploit kit contengono una raccolta di exploit che cercano diversi tipi di vulnerabilità del software. Se vengono rilevate, i kit distribuiscono ulteriore malware. I software che possono essere infettati includono Adobe Flash Player, Adobe Reader, Web browser, Oracle Java e Sun Java. Angler/Axpergle, Neutrino e Nuclear sono alcuni tipi di exploit kit comuni.

     

    Exploit ed exploit kit in genere si affidano ad allegati e-mail o siti Web dannosi per violare una rete o un dispositivo, ma a volte si nascondono anche in annunci pubblicitari su siti Web legittimi senza che questi ne siano a conoscenza.

  • Malware senza file

    Questo tipo di cyberattacco include tutti i malware che non utilizzano file (come un allegato e-mail infetto) per violare una rete. Ad esempio, potrebbero arrivare tramite pacchetti di rete dannosi che sfruttano una vulnerabilità e poi installano un malware che risiede solo nella memoria del kernel. Le minacce senza file sono particolarmente difficili da trovare e rimuovere perché la maggior parte dei programmi antivirus non è creata per analizzare il firmware.

  • Macro malware

    Probabilmente già conosci le macro, ovvero dei modi per automatizzare rapidamente attività comuni. Il macro malware sfrutta questa funzionalità infettando allegati e-mail e file ZIP. Per indurre con l'inganno le persone ad aprire i file, i criminali informatici spesso nascondono il malware in file dissimulati come fatture, ricevute e documenti legali.

     

    In passato, il macro malware era più comune poiché le macro venivano eseguite automaticamente quando si apriva un documento. Tuttavia, nelle versioni recenti di Microsoft Office le macro sono disabilitate per impostazione predefinita, il che significa che i criminali informatici che infettano i dispositivi in questo modo devono convincere gli utenti ad attivare le macro.

  • Ransomware

    Il ransomware è un tipo di malware che minaccia una vittima distruggendo o bloccando l'accesso a dati critici finché non viene pagato un riscatto. I ransomware effettuati con intervento umano attaccano un'organizzazione tramite comuni errori di configurazione della sicurezza e del sistema con cui si infiltrano nell'organizzazione, esplorano la rete aziendale e si adattano all'ambiente e a qualsiasi punto di debolezza. Un metodo comune per ottenere l'accesso alla rete di un'organizzazione al fine di distribuire ransomware consiste nel furto di credenziali, con cui un criminale informatico potrebbe rubare le credenziali di un attuale dipendente per prenderne il posto e accedere ai suoi account.

     

    Gli utenti malintenzionati che usano ransomware con intervento umano colpiscono le organizzazioni di grandi dimensioni perché possono pagare un riscatto più alto dell'individuo medio (spesso molti milioni di dollari). Vista l'elevata posta in gioco con una violazione di questa portata, molte organizzazioni preferiscono pagare il riscatto anziché perdere i propri dati sensibili o rischiare ulteriori attacchi dei criminali informatici, anche se il pagamento non garantisce i risultati sperati.

     

    Man mano che i ransomware effettuati con intervento umano crescono, i criminali che si celano dietro questi attacchi diventano sempre più organizzati. Infatti, molti ransomware ora utilizzano il modello Ransomware as a Service, ovvero un gruppo di sviluppatori criminali crea il ransomware e poi assolda altri hacker per attaccare la rete di un'organizzazione e installare il ransomware, dividendo i profitti tra i due gruppi a un tasso precedentemente concordato.

  • Rootkit

    Quando un criminale informatico usa un rootkit, nasconde il malware in un dispositivo quanto più a lungo possibile, a volte persino per anni, affinché rubi costantemente informazioni e risorse. Intercettando e modificando i processi dei sistemi operativi standard, un rootkit potrebbe alterare le informazioni fornite dal dispositivo stesso in merito al suo stato. Ad esempio, un dispositivo infettato con un rootkit potrebbe non mostrare un elenco accurato dei programmi in esecuzione. I rootkit possono anche dare privilegi elevati o di amministratore del dispositivo ai criminali informatici, che così ottengono il totale controllo di un dispositivo e possono eseguire operazioni potenzialmente dannose, come rubare dati, spiare la vittima e installare ulteriore malware.

  • Attacchi alla catena di approvvigionamento

    Questo tipo di malware attacca provider e sviluppatori di software accedendo ai codici sorgente, creando processi o aggiornando meccanismi in app legittime. Quando un criminale informatico trova un protocollo di rete senza protezione, un'infrastruttura server non protetta o una tecnica di programmazione non sicura, penetra nel sistema, cambia i codici sorgente e nasconde il malware nei processi di compilazione e aggiornamento.

  • Tentativi di phishing del supporto tecnico

    Un problema dell'intero settore, i tentativi di phishing del supporto tecnico sfruttano tattiche per spaventare gli utenti e indurli a pagare per servizi di assistenza non necessari che potrebbero essere pubblicizzati per risolvere un falso problema relativo a un dispositivo, una piattaforma o un software. Con questo tipo di malware, un criminale informatico potrebbe chiamare direttamente qualcuno fingendo di essere un dipendente di una società software. Dopo aver ottenuto la fiducia di qualcuno, gli utenti malintenzionati spesso spingono le potenziali vittime a installare applicazioni o a dare l'accesso remoto ai loro dispositivi.

  • Trojan

    I trojan sfruttano il fatto di essere scaricati inconsapevolmente da un utente perché appaiono come app o file legittimi. Una volta scaricati, possono:

    • Scaricare e installare ulteriore malware, come virus o worm.
    • Usare il dispositivo infettato per clic illeciti.
    • Registrare i tasti premuti e i siti Web visitati dall'utente.
    • Inviare informazioni (ad esempio, password, dettagli di accesso e cronologia esplorazioni) sul dispositivo infettato a un hacker.
    • Dare a un criminale informatico il controllo del dispositivo infettato.
  • Software indesiderato

    Quando un dispositivo presenta software indesiderato, l'utente potrebbe riscontrare un'esperienza di esplorazione del Web modificata, un controllo alterato di download e installazioni, messaggi fuorvianti e modifiche non autorizzate alle impostazioni del dispositivo. Alcuni software indesiderati sono integrati in software che le persone vogliono scaricare.

  • Worm

    Principalmente presenti in allegati e-mail, SMS, programmi di condivisione di file, siti di social network, condivisioni di rete e unità rimovibili, i worm si diffondono in una rete sfruttando le vulnerabilità della sicurezza e duplicandosi. A seconda del tipo di worm, potrebbe rubare informazioni sensibili, cambiare le impostazioni di sicurezza o impedire l'accesso ai file.

  • Miner di criptovalute

    Con l'aumento della popolarità delle criptovalute, il mining di criptovalute è diventato una pratica lucrativa. I miner di criptovalute usano le risorse di elaborazione di un dispositivo per eseguire il mining di criptovalute. Le infezioni di questo tipo di malware spesso iniziano con un allegato e-mail che tenta di installare malware o un sito Web che sfrutta le vulnerabilità nei Web browser o usa la potenza di elaborazione di un computer per aggiungere malware ai dispositivi.

     

    Attraverso calcoli matematici complessi, i miner di criptovalute mantengono il libro mastro della blockchain per rubare le risorse di elaborazione che consentono al miner di creare nuove criptovalute. Il mining di criptovalute utilizza una notevole quantità di potenza di elaborazione del computer, tuttavia, per rubare quantità relativamente piccole di criptovalute. Per questo motivo, i criminali informatici spesso lavorano in team per massimizzare e dividere i profitti.

     

    Eppure, non tutti i miner di criptovalute sono criminali: singoli individui e organizzazioni a volte acquistano hardware ed energia elettrica per effettuare un mining di criptovalute legittimo. Questo processo diventa criminale quando un hacker si infiltra in una rete aziendale senza consenso per usarne la potenza di elaborazione per il mining.

Protezione da malware

Anche se chiunque può diventare vittima di un attacco malware, esistono molti modi per prevenire un attacco.

  • Installa un programma antivirus

    La migliore forma di protezione è la prevenzione. Le organizzazioni possono bloccare o rilevare molti attacchi malware grazie a una soluzione per la sicurezza o un servizio antimalware affidabile, come Microsoft Defender per endpoint o Antivirus Microsoft Defender. Quando usi un programma di questo tipo, il dispositivo scansiona prima i file o i collegamenti che tenti di aprire per verificare che siano sicuri. Se un file o un sito Web è dannoso, il programma ti avvisa e suggerisce di non aprirlo. Questi programmi possono anche rimuovere malware da un dispositivo già infettato.

  • Implementa misure di protezione avanzata per e-mail ed endpoint

    Previeni gli attacchi malware con Microsoft Defender per Office 365, che scansiona i collegamenti e gli allegati in e-mail e strumenti di collaborazione come SharePoint, OneDrive e Microsoft Teams. Come parte di Microsoft 365 Defender, Defender per Office 365 offre funzionalità di rilevamento e risposta per eliminare la minaccia di attacchi malware.

     

    Facendo anch'esso parte di Microsoft 365 Defender, Microsoft Defender per endpoint utilizza sensori comportamentali degli endpoint, analisi della sicurezza del cloud e intelligence sulle minacce per aiutare le organizzazioni a prevenire, rilevare, analizzare e rispondere a minacce avanzate.

  • Organizza regolarmente corsi di formazione

    Tieni i dipendenti aggiornati su come riconoscere i segnali di phishing e altri cyberattacchi con corsi di formazione regolari. In questo modo, non solo impareranno pratiche più sicure, ma sapranno anche come aumentare il livello di sicurezza quando usano i propri dispositivi personali. Strumenti di simulazione e formazione, come la formazione relativa alla simulazione degli attacchi in Defender per Office 365, consentono di simulare minacce reali nel tuo ambiente e assegnare la formazione agli utenti finali in base ai risultati della simulazione.

  • Sfrutta i backup nel cloud

    Quando trasferisci i tuoi dati in un servizio basato sul cloud, puoi eseguire facilmente un backup per una maggiore sicurezza. Se i tuoi dati fossero mai compromessi da malware, questi servizi faranno in modo che il loro recupero sia immediato e completo.

  • Adotta un modello Zero Trust

    Un modello Zero Trust valuta il livello di rischio di tutti i dispositivi e gli utenti prima di consentire loro di accedere ad applicazioni, file, database e altri dispositivi, riducendo la probabilità che un'identità o un dispositivo dannoso possa accedere alle risorse e installare malware. Ad esempio, è stato dimostrato che l'implementazione dell'autenticazione a più fattori, un componente di un modello Zero Trust, riduce l'efficacia degli attacchi di identità di oltre il 99%. Per valutare la fase di maturità Zero Trust della tua organizzazione, prova la nostra valutazione della maturità Zero Trust.

  • Entra a far parte di un gruppo di condivisione delle informazioni

    I gruppi di condivisione delle informazioni, spesso organizzati per settore o posizione geografica, incoraggiano le organizzazioni con strutture simili a collaborare per trovare soluzioni di cybersecurity. Questi gruppi offrono alle organizzazioni anche diversi vantaggi, come servizi di analisi digitale e risposta agli incidenti, novità sulle ultime minacce e monitoraggio di domini e intervalli IP pubblici.

  • Mantieni backup offline

    Alcuni malware cercheranno di trovare ed eliminare eventuali backup online che tu possa avere, quindi è una buona idea mantenere un backup offline aggiornato dei dati sensibili che testi regolarmente per verificare che sia recuperabile in caso di attacchi malware.

  • Tieni il software aggiornato

    Oltre a mantenere aggiornate le soluzioni antivirus (valuta l'idea di scegliere gli aggiornamenti automatici), assicurati di scaricare e installare qualsiasi altro aggiornamento di sistema e patch di software non appena diventano disponibili. Questo potrebbe aiutarti a ridurre al minimo le vulnerabilità della sicurezza che un criminale informatico potrebbe sfruttare per ottenere l'accesso alla tua rete o ai tuoi dispositivi.

  • Crea un piano di risposta agli incidenti

    Proprio come avere un piano di emergenza per sapere come uscire di casa se si verifica un incendio ti rende più sicuro e più preparato, creare un piano di risposta agli incidenti per sapere cosa fare se vieni colpito da un malware ti indicherà come comportarti in diversi scenari di attacco, affinché tu possa tornare prima possibile alle tue consuete operazioni in modo sicuro.

Come rilevare e rimuovere un malware

Un malware non è sempre individuabile facilmente, soprattutto nel caso di malware senza file. Le organizzazioni e i singoli individui dovrebbero fare attenzione a un aumento di annunci pubblicitari popup, reindirizzamenti del Web browser, post sospetti negli account sui social media e messaggi relativi alla sicurezza compromessa di account o dispositivi. Anche i cambiamenti nelle prestazioni di un dispositivo, come il notevole rallentamento delle attività, potrebbero essere un segnale da non sottovalutare.

 

Se temi di essere vittima di un attacco malware, per fortuna hai diverse opzioni a disposizione per rilevarlo e rimuoverlo. Per prima cosa, utilizza prodotti antivirus, come quello nativo di Windows, per rilevare eventuali malware. Dopo aver installato un programma antivirus, esegui una scansione del dispositivo per individuare eventuali programmi o codici dannosi. Se il programma rileva malware, indica di che tipo si tratta e fornisce suggerimenti per rimuoverlo. Dopo la rimozione, assicurati di avere sempre un software aggiornato e funzionante per prevenire attacchi futuri.

 

Per attacchi più sofisticati contro le organizzazioni che i programmi antivirus non sono in grado di rilevare e bloccare, gli strumenti Security Information and Event Management (SIEM) e le funzionalità di rilevamento e reazione estese (XDR) offrono professionisti della sicurezza e metodi di sicurezza degli endpoint basati sul cloud in grado di rilevare e rispondere agli attacchi sui dispositivi endpoint. Poiché questi tipi di attacchi sono complessi, con criminali informatici che vogliono molto più che controllare semplicemente i dispositivi, SIEM e XDR aiutano le organizzazioni ad avere una panoramica più ampia di un attacco in tutti i domini, tra cui dispositivi, e-mail e applicazioni.

 

Iniziare a usare gli strumenti SIEM e XDR, come Microsoft Sentinel, Microsoft 365 Defender e Microsoft Defender per il cloud, è un ottimo punto di partenza per quanto riguarda le funzionalità di antivirus. I professionisti della sicurezza devono garantire che le impostazioni dei dispositivi siano sempre aggiornate per prevenire le minacce dei malware più avanzati.

Malware e soluzioni di sicurezza

Domande frequenti

|

Purtroppo, chiunque può essere vittima di un attacco malware. I criminali informatici sono sempre più abili nell'imitare e-mail e altre forme di comunicazione provenienti dalle organizzazioni che già conosci, come la tua banca. Altri tipi di malware sono ancora meno evidenti e potrebbero nascondersi nel software che vuoi scaricare.

 

Tuttavia, investire in soluzioni proattive, come servizi di protezione dalle minacce, è un modo per prevenire che eventuali malware infettino la tua rete o i tuoi dispositivi. Pertanto, singoli individui e organizzazioni che implementano programmi antivirus e altri protocolli di sicurezza, come un modello Zero Trust, prima che si verifichi un attacco hanno una probabilità minima di essere infettati da malware.

Gli attacchi malware si verificano in molti modi diversi. Potresti fare clic su un collegamento dannoso, aprire un allegato e-mail infetto o anche non fare niente: alcuni attacchi sfruttano le vulnerabilità della sicurezza del dispositivo senza che tu abbia fatto nulla.

Gli attacchi malware possono essere devastanti, ad esempio nel caso di furto dell'identità o di denaro, o meno seri ma comunque invasivi, come quando vengono mostrati annunci indesiderati sul dispositivo.

I programmi antivirus sono un tipo di software che ti protegge attivamente da eventuali malware e, qualora fossero presenti sul tuo dispositivo, li rimuove. Se hai un servizio antivirus installato, prima di accedere a un file o collegamento compromesso riceverai una notifica che ti avvisa che tale file o collegamento è potenzialmente pericoloso.

La soluzione migliore per prevenire gli attacchi malware consiste nello scaricare e installare un programma antivirus, che monitora l'attività del dispositivo e contrassegna eventuali file, collegamenti o programmi sospetti prima che diventino un problema.