Informatica e Ingegneria Online

Cosa significa, come individuare e rimuovere un malware da smartphone e computer

Scritto il

Cosa significa, come individuare e rimuovere un malware da smartphone e computer

Cosa significa malware?

Il malware è un software malevolo, solitamente utilizzato dai cybercriminali per condurre i loro illegali scopi ai danni dei sistemi informatici connessi alla reteAlmeno in linea teorica, infatti, nessun dispositivo connesso alla rete può dirsi al sicuro dall’azione di un malware.

La natura ostile del malware è finalizzata ad infiltrarsi in computer, server e sistemi mobile per creare un danno spesso irreversibile, rendere impossibile la regolare esecuzione di un servizio o l’accesso ai dati archiviati sui sistemi violati. L’attaccante molto spesso sfrutta un malware per penetrare all’interno del perimetro di sicurezza informatica ai fini di controllare i sistemi strategici per finalizzare varie attività, tra cui l’esfiltrazione dei dati, l’impiego delle macchine connesse ad una rete per distribuire agenti virali, la conduzione di attacchi DDoS e molto altro ancora.

Quando un cybercriminale riesce a penetrare all’interno di un sistema ed assumere il controllo delle macchine, diventa molto difficile individuarlo fino a quando la sua azione non si manifesta in maniera volontaria. Le strategie che portano gli attaccanti ad utilizzare i malware sono molto diversificate.

Se l’intenzione fosse quella di spiare ciò che accade in una rete, il malintenzionato farebbe di tutto per non farsi scoprire e rimanere all’interno il più a lungo possibile. Se venisse scoperto ed eradicato dalla rete, buona parte dei suoi sforzi risulterebbero vani. Qualora l’intenzione fosse quella di creare un danno o impedire l’accesso a qualche risorsa, il risultato dell’azione sarebbe decisamente differente, in quanto l’attaccante deve cercare di cogliere di sorpresa la vittima e colpirla con estrema violenza nel minor lasso di tempo possibile.

Cosa significa, come individuare e rimuovere un malware da smartphone e computer

Il Malware-as-a-Service

Il presente e il futuro del business cybercriminale prevede, tra le altre ignobili prassi, il Malware-as-a-Service, che consiste nel rendere disponibile un servizio che prevede un malware pronto all’uso, senza doverlo sviluppare da zero, da utilizzare per i propri illegali scopi. Tale servizio può essere venduto a terzi attraverso il dark web o essere utilizzato dai provider stessi per conto terzi, nei confronti di particolari bersagli.

Il Malware-as-a-Service rientra sotto il più ampio cappello del Cybercrime-as-a-Service, che prende spunto dal modello di business caratteristico delle soluzioni in cloud per offrire servizi a terzi, che non dispongono delle risorse o delle capacità necessarie per dare seguito alle loro intenzioni criminali. La semplicità d’uso e i rischi relativamente bassi che si corrono utilizzando tali servizi ha consentito il loro rapido proliferare, con un trend pare destinato a proseguire in maniera ancora più sostenuta in futuro, allargando la platea dei cybercriminali attivi nella rete.

Come faccio a sapere se ho malware sul mio pc?

I malware possono infiltrarsi in vari modi nei sistemi informatici delle vittime. Molto spesso, la causa deriva dall’errore umano. È infatti sufficiente un click su un allegato virato contenuto in una mail, così come il semplice accesso ad una pagina web in grado di scaricare sul dispositivo un eseguibile malevolo, per rimanere vittime, spesso ignare, di un’ampia varietà di attacchi alla sicurezza informatica.

Le modalità con cui è possibile contrarre un malware sono molto varie ed a queste va aggiunta la capacità dei cybercriminali di sfruttare le vulnerabilità di un sistema per infiltrarsi direttamente al suo interno. Un tempo la presenza di malware su un sistema era resa evidente da un rallentamento generale delle prestazioni o da altre anomalie. Di recente l’azione dei malware si è notevolmente raffinata, al punto che l’utente poco accorto in fatto di gestione di sistemi il più delle volte non si accorge di essere stato infetto.

La diagnostica anti-malware varia sensibilmente a seconda del contesto da analizzare, che spazia dal semplice pc personale ad un endpoint in ambito aziendale. A livello di dispositivo singolo è spesso sufficiente eseguire una scansione con un software anti-malware. I più diffusi, come Malwarebytes supportano diversi sistemi operativi e, anche nelle versioni gratuite, sono in grado di rilevare la presenza dei malware più diffusi, oltre a quarantenare o rimuovere i file coinvolti. Le versioni a pagamento degli stessi software consentono solitamente di pianificare le scansioni ed automatizzare altre procedure.

In ambito aziendale, soprattutto se emerge la notizia che un endpoint connesso alla rete è stato infetto da un malware occorre procedere con una scansione più ampia, onde scongiurare la presenza di malware silente su alcune macchine, che potrebbe agire in background come spyware o essere attivato in un secondo momento da chi lo controlla. Ricordiamo che oltre all’infezione di un endpoint, dovuto molto spesso ad un errore umano, un malware può penetrare all’interno del perimetro di sicurezza aziendale grazie ad una vulnerabilità di sistema, che consente all’attaccante di infiltrarsi in autonomia per prendere il controllo di una o più macchine al suo interno.

Come rimuovere un malware

Nei casi più semplici, come citato, è sufficiente rimuovere l’infezione utilizzando un software anti-malware, che dispone di funzioni specifiche, come la quarantena o la cancellazione dei file malevoli. Nel caso di un sistema aziendale, eliminare subito il malware non sempre equivale alla scelta più ragionevole. Sarebbe infatti più auspicabile adottare un approccio di incident response, finalizzato a conoscere tutti gli estremi dell’attacco subito prima di procedere alla sua eradicazione.

Qualora decidessimo di espellere l’attaccante prima di aver identificato le cause e la magnitudo dell’attacco subito, perderemmo una grande opportunità dal punto di vista investigativo, rimarremmo ignari in merito alla presenza di possibili vulnerabilità e rischieremmo, con probabilità molto elevate, di subire nuovamente lo stesso attacco nel giro di breve tempo.

Ogni azienda attenta alle proprie sorti in fatto di sicurezza informatica dovrebbe infatti disporre di un SOC (Security Operations Center) o un vero e proprio IRT (Incident Response Team), capace di assumere, come vedremo in seguito, sia un atteggiamento di tipo reattivo, finalizzato a mitigare l’attacco subito ed eradicare la minaccia soltanto dopo aver ricostruito la sua dinamica complessiva, ed un atteggiamento di tipo proattivo, fondamentale per prevenire gli incidenti di sicurezza informatica.

Le tipologie di malware

Quando nell’ambito della sicurezza informatica si utilizza il termine malware, non si identifica di fatto una minaccia, ma uno spettro molto ampio di situazioni, tale è la quantità e la varietà di possibili agenti malevoli diffusi attraverso la rete. Ci limitiamo ad un rapido elenco delle tipologie di malware più diffusi, rimandando ad approfondimenti specifici in relazione ad ognuno di essi.

  • Virus: sono i malware più noti e storicamente diffusi. Se eseguito può facilmente infettare file e applicazioni su qualsiasi sistema operativo;
  • Worm: variante di virus in grado di replicare in maniera autonoma, senza la necessità di un’applicazione o dell’interazione diretta da parte dell’attaccante;
  • Trojan: il nome è un chiaro riferimento al celebre cavallo di Troia, la macchina da guerra utilizzata dai greci per introdursi all’interno delle difese dell’omonima città rivale, spacciandola inizialmente per un dono. In varie circostanze il trojan horse è diventato d’uso comune per identificare uno stratagemma con cui penetrare all’interno delle difese avversarie. Lo stesso concetto vale per i malware che, una volta installati da un utente ignaro della pericolosità che nascondono al loro interno, diventano in grado di attivare funzioni malevole sulle macchine infettate;
  • Rootkit: è un malware che ha lo scopo di fornire all’attaccante i diritti di amministrazione della macchina infettata. Una volta ottenuto tale privilegio, è possibile controllare in vari modi il sistema, spesso per veicolare al suo interno ulteriori minacce;
  • Adware: spesso più fastidiosi che effettivamente dannosi, ed altrettanto rognosi da rimuovere, questi malware consentono di tracciare i cookie di navigazione dei browser per attivare di conseguenza alcuni popup indesiderati, con lo scopo di mostrare contenuto pubblicitario relativo ai nostri possibili interessi;
  • Keylogger: la loro azione è semplice quanto micidiale, in quanto consente di tracciare la digitazione dei tasti, consegnando all’attaccante i dati di login, le password e tutte le informazioni che l’utente inserisce nelle varie applicazioni attraverso la tastiera. Questo sistema è molto utilizzato per le frodi basate sul furto dei dati di accesso e dell’identità digitale. La loro pericolosità è data dal fatto che consente di ottenere anche le informazioni di conferma dei sistemi di autenticazione multifattoriale, traendo spesso in inganno anche gli utenti non del tutto sprovveduti;
  • Spyware: come il nome stesso suggerisce, si tratta di un malware che agisce quale spia all’interno di un sistema, con l’obiettivo di osservare le sue operazioni e comunicarle all’attaccante. Lo spyware consente inoltre di esfiltrare i dati presenti sui dispositivi connessi alla rete, a cui la macchina controllata è in grado di accedere. Si tratta di malware molto pericolosi, in quanto sviluppati appositamente per essere molto discreti e difficili da individuare anche dai sistemi anti-malware;
  • Botnet: si tratta di malware in grado di replicare la loro presenza su un numero enorme di macchine, ai fini di dotare l’attaccante di una enorme potenza di fuoco ad esempio per diffondere altri malware, come spesso avviene per propagare rapidamente i ransomware, o effettuare attacchi DDoS (Distributed Denial of Service), che necessitano di una enorme quantità di risorse per sovraccaricare il loro bersaglio e renderlo inutilizzabile. Le botnet sono pertanto molto preziose nelle dinamiche del Cybercrime-as-a-Service;
  • Crypto-mining: si tratta di un malware la cui azione è dichiaratamente ispirata ai progetti di calcolo distribuito, spesso svolte con finalità benefiche (SETI program, Folding@Home, ecc.). In questo caso, il beneficiario è un minatore di criptovalute che utilizza in maniera illegale le risorse computazionali delle sue vittime per eseguire i suoi scopi. Il malware agisce in background con bassa priorità, utilizzando le risorse quando sono scariche, in modo che il legittimo proprietario non si accorga della sua presenza, almeno fino a quando non riceve la bolletta dell’energia elettrica;
  • Exploit: si tratta di attacchi con cui i cybercriminali sfruttano delle vulnerabilità di sistema, come i bug di un software legittimo, per assumere in vari modi il controllo delle macchine. È molto difficile difendersi da tali attacchi, perché l’utente non potrebbe mai sospettare che, ad esempio, il browser che utilizza, attraverso una richiesta malevola in grado di sfruttare un suo bug, scarichi del software in grado di essere eseguito automaticamente in remoto sulla macchina;
  • Ransomware: rappresenta l’indiscusso re dei malware. La sua azione di base prevede la crittografia dei file presenti su una macchina, rendendoli di fatto inaccessibili, ai fini di richiedere un riscatto alla vittima. Il ransomware può agire sia sui dati che sui sistemi, rendendoli inutilizzabili. Un ransomware consente di attuare molte strategie criminali, tra cui la purtroppo nota modalità a doppia estorsione. Tale attacco viene attuato in due differenti fasi. In primo luogo, l’attaccante penetra nel sistema della vittima per esfiltrare i dati e soltanto successivamente provvede alla loro crittografia. Una volta che la vittima si accorge del danno, viene pertanto sottoposta ad un duplice ricatto, teso a vanificare anche una corretta strategia di backup e ripristino. Oltre al tradizionale riscatto per rimuovere la crittografia, si aggiunge la minaccia di diffondere in maniera illecita i dati qualora non venga pagato un adeguato corrispettivo. Spesso i criminali iniziano a diffondere in rete una parte dei dati rubati, sia per dimostrare alle vittime che dispongono effettivamente dei loro dati, sia per attirare possibili acquirenti illeciti. Una delle nuove frontiere di questo business cybercriminale è dato dalla pratica del Ransomware-as-a-Service, che consente a chiunque sia un minimo pratico del dark web di ottenere un toolkit pronto per condurre personalmente i propri attacchi, anche senza possedere conoscenze informatiche approfondite.

Malware e smartphone

Domanda a bruciapelo: gli smartphone sono sicuri dai malware? Secondo voi, i cybercriminali potrebbero rimanere indifferenti ad oltre due miliardi di dispositivi personali in cui ogni utente conserva dati sensibili, accessi ai servizi finanziari ed altre applicazioni strategicamente vitali? La risposta è ovviamente no. Ragion per cui gli smartphone costituiscono un bersaglio di varie tipologie di malware, opportunamente sviluppati per infettare e prendere il controllo delle applicazioni sui sistemi operativi iOS ed Android.

I malware possono consentire all’attaccante di prendere il controllo della camera, del microfono, del GPS e di altre risorse hardware e software presenti sul sistema. Il modo più semplice per beccarsi un malware sullo smartphone, inutile dirlo, risiede nello scaricamento di app dagli store non ufficiali o dall’esecuzione di un jailbreak. Chi effettua queste operazioni per il gusto di installare una app senza pagarla, corre di fatto dei rischi enormi, capaci di costargli molto cari in termini di conseguenze.

Un’altra situazione di grande rischio, soprattutto per il fatto che all’apparenza il rischio è così evidente soprattutto agli occhi dell’utente comune, che non dispone di adeguate conoscenze in fatto di infrastrutture e protocolli di rete, è dato alle connessioni Bluetooth o Wi-Fi.

Un malintenzionato potrebbe utilizzare una connessione NFC per sottrarci dei dati preziosi, oppure sniffare i nostri dati durante il loro trasferimento, qualora ci connettessimo con una certa imprudenza ad una rete Wi-Fi soggetta ad un attacco Man-in-the-middle. Tale condizione consente all’attaccante di penetrare nella rete e posizionare i propri agenti malevoli in modo che possano intercettare il traffico dei dati attivo su tali reti.

Quando ci connettiamo ad un Wi-Fi pubblico, sarebbe preferibile farlo con un dispositivo personale in cui non abbiamo dati particolarmente rilevanti, senza mai utilizzarlo per operazioni rischiose come l’internet banking o altre operazioni che, se intercettate, potrebbero dare luogo a frodi dalle conseguenze spesso drammatiche.

Android, grazie alla sua maggior diffusione e alla sua maggior apertura alla personalizzazione è mediamente molto più soggetto all’azione dei malware rispetto ad iOS, su cui Apple ha gioco ben più facile dato il limitato numero di dispositivi su cui è distribuito e per il fatto che il suo app store è sottoposto a regole molto rigide per autorizzare la pubblicazione. In ogni caso, anche un iPhone può diventare un dispositivo a rischio malware quando l’utente che lo impiega agisce in maniera scriteriata, aprendo allegati mail infetti o navigando su siti web poco raccomandabili.

Quando ci si connette alla rete Internet, occorre sempre ricordare che non si è mai del tutto al sicuro dall’infezione di un malware e questo vale soprattutto nel caso dei sistemi mobile, che si avvalgono spesso e volentieri di connessioni non private.

Per accorgersi se uno smartphone è infettato o meno da un malware esistono, come nel caso dei PC, appositi software anti-malware. I sintomi più frequenti sono una CPU mediamente molto utilizzata quando magari non abbiamo applicazioni attive, un traffico dati anomalo, sia nella quantità che nella qualità, con comunicazioni di testo o chiamate non effettuate dal legittimo proprietario. Anche un consumo anomalo della batteria potrebbe essere indicativo di un’applicazione in background non autorizzata. Tenere d’occhio i processi attivi ed il consumo delle risorse di sistema costituisce pertanto una buona prassi per identificare la presenza di un malware su un sistema mobile.

Malware su Mac e Linux

Un falso mito da sfatare è quello che vorrebbe i Mac e i PC con sistema operativo Linux immuni dall’azione virale dei malware. Nulla di più falso. Il fatto che Windows costituisca un bersaglio privilegiato non vuole assolutamente dire che altri sistemi operativi non siano altrettanto soggetti all’azione dei cybercriminali.

Chi utilizza pertanto sistemi Mac o Linux deve prestare le stesse attenzioni nei confronti del malware di chi utilizza sistemi Windows, Android o iOS. Questa considerazione vale soprattutto nell’utilizzo dei browser durante la navigazione e in qualsiasi circostanza si preveda l’inserimento dei dati di accesso, in quanto si profila il rischio concreto di rimanere vittime della trappola di un phising o di altre pratiche malevole in grado di coinvolgere l’azione di un malware programmato per svolgere una frode.

Come difendersi dal malware

Per difendersi dall’infezione di un malware occorre innanzitutto tenere presenti le più elementari pratiche di igiene informatica, considerando che in ambito aziendale non è ammissibile che i dipendenti cadano puntualmente in errori grossolani, capaci di condizionare in maniera evidente la sicurezza dei sistemi aziendali.

Al tempo stesso, le organizzazioni devono garantire adeguati percorsi di formazione in fatto di sicurezza informatica relativi all’utilizzo dei propri sistemi, in modo da rendere consapevoli i dipendenti, creando una vera e propria cultura diffusa nell’utilizzo dei dati e delle applicazioni. Gli endpoint a loro disposizione andrebbero utilizzati esclusivamente per l’attività professionale, destinando ad altri dispositivi le funzioni relative all’impiego personale.

Tra le buone prassi di sicurezza informatica che chiunque, per utilizzo personale o professionale, dovrebbe adottare, possiamo ad esempio sintetizzare:

  1. Aggiornare puntualmente il sistema operativo e le applicazioni, compresi gli anti-malware, in modo che siano efficienti contro i malware più recenti. Tale prassi è particolarmente rilevante nel caso della protezione nei confronti dei malware polimorfici, capaci di mutare per eludere puntualmente i sistemi deputati alla loro identificazione;
  2. Attivare una scansione anti-malware pianificata, in modo da assicurare un monitoraggio regolare sulle macchine, senza la necessità di ricordarsi di eseguirla manualmente, il che si traduce in possibili e fatali dimenticanze;
  3. Attivare i pop-up blocker del proprio browser, qualora non fossero già attivi di default ed evitare in ogni caso di cliccare sui pop-up durante la navigazione su internet;
  4. Non aprire allegati e-mail senza essere certi che siano stati analizzati da un antivirus affidabile. Diffidare a priori degli allegati provenienti da fonti ignote;
  5. Evitare di navigare su siti poco raccomandabili e scaricare software da siti di cui non si ha l’assoluta certezza di affidabilità;
  6. Evitare di scaricare file da reti peer-to-peer, a maggior ragione se si tratta di software non originale;
  7. Evitare il download di applicazioni di terze parti, come le estensioni dei software, senza l’assoluta certezza che ciò avvenga sui marketplace ufficiali. Costituisce ulteriore cautela la lettura delle recensioni del software che si intende scaricare, che potrebbero ad esempio rilevare problemi di sicurezza anche in applicazioni in teoria assolutamente affidabili, in quanto approvate dalle procedure di controllo dei marketplace stessi;
  8. Evitare di scaricare contenuti dai programmi di instant messaging, come Whatsapp e Telegram, se non si è assolutamente certi della loro provenienza;

Nel caso dei sistemi aziendali, è necessario che tali prassi, universalmente valide, siano supportate da ulteriori misure di sicurezza, come un sistema di directory in grado di garantire l’accesso soltanto agli utenti e ai dispositivi identificati e autorizzati ad accedere a specifiche regioni della rete aziendale, con i relativi privilegi dettati dalle policy.

Gli endpoint e i dispositivi connessi alla rete aziendale devono essere costantemente monitorati da appositi sistemi, come i SIEM (Security Information and Event Management), in grado di rilevare ogni possibile anomalia possa rivelarsi sintomatica di un’infezione da parte di un malware. Il SIEM è capace di analizzare in tempo reale i log delle attività e costituisce pertanto uno strumento chiave nella pratica dell’incident response.

In generale, nel contesto di un efficace IRP (Incident Response Plan) dovrebbe dedicare nelle sue fasi caratteristiche alcune attenzioni specifiche nei confronti dei malware:

  1. Identificazione: per rilevare con esattezza quali endpoint sono stati attaccati da un malware;
  2. Comunicazione: una volta identificata la magnitudo dell’attacco, occorre attivarsi per comunicare la notifica dell’incidente di sicurezza informatica agli organi preposti. Tale mansione risulta obbligatoria nei confronti di alcune categorie di aziende coinvolte nella supply chain dei servizi fondamentali e delle infrastrutture critiche;
  3. Mitigazione: bloccare tutte le fonti di accesso del malware, bannando tutti i possibili IP interessati, prima di provvedere alla definitiva eradicazione della minaccia, in modo che l’attaccante non sia in grado di penetrare nuovamente all’interno del perimetro di sicurezza informatica;
  4. Ripristino: delle macchine interessante dall’attacco malware, attraverso la reinstallazione pulita del sistema operativo e delle applicazioni utili;
  5. Recupero: dei dati interessati dall’attacco malware, in particolare se si tratta di un ransomware. Tale pratica è possibile soltanto se si è eseguita in maniera efficace una corretta strategia di backup;
  6. Monitoraggio: dopo l’incidente è necessario verificare che non si ripeta la stessa dinamica che lo ha causato, in quanto è pressoché certo che un attaccante riprovi a penetrare nei sistemi già violati. La miglior conferma di aver eseguito un buon lavoro di incident response deriva proprio dalla capacità di bloccare un attacco malware identico o più severo rispetto a quello subito in precedenza.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario