Il malware , che è l'abbreviazione di "Malicious Software", può essere disponibile in diversi formati. Si riferisce a qualsiasi software progettato intenzionalmente per causare danni, rubare informazioni o ottenere accesso non autorizzato a un utente o a sistemi aziendali.
Sommario
Il malware non si basa su un singolo percorso, infatti può diffondersi attraverso quasi tutti i protocolli IT o meccanismi di trasporto. Anche oggi casi singoli mostrano che potrebbe anche essere preinstallato su hardware come gli smartphone. In questo articolo esamineremo alcuni dei tipi più comuni che potresti incontrare.
Virus
Un virus informatico è un tipo di malware che mira ad attaccarsi a file o applicazioni legittimi per corrompere i dati, interferire con le operazioni del sistema o persino diffondersi ad altri sistemi sulla stessa rete.
Esempio di virus: il virus Melissa nel 1999 ha preso di mira i sistemi basati su Microsoft Word e Outlook. Questo virus informatico si è diffuso attraverso allegati email che hanno provocato arresti anomali dei server e un danno stimato di 1,1 miliardi di dollari a livello globale. Fino al 2000 i virus erano la classe dominante di malware che ha portato il settore a combattere il codice dannoso chiamato "antivirus".
Worm
A differenza dei virus, i worm non hanno bisogno dell'interazione umana per diffondersi. I worm si auto-replicano e sfruttano le vulnerabilità del sistema per infettare più dispositivi in una rete. La loro capacità di propagarsi autonomamente li rende particolarmente pericolosi, spesso portando a interruzioni significative e perdita di dati.
Esempio di worm: il worm WannaCry, che ha preso di mira una vulnerabilità di Windows nel 2017, crittografando i dati e richiedendo pagamenti di riscatto.
I worm possono rapidamente far cadere intere reti, sovraccaricando i sistemi con traffico massiccio o sfruttando punti di accesso ai dati critici, causando danni sia in ambito aziendale sia governativo. Anche se sono molto pericolosi, i worm vengono raramente utilizzati negli attacchi coordinati in quanto sono paragonabili e quindi facili da rilevare. Sono anche molto difficili da controllare per gli attori delle minacce che portano a effetti collaterali indesiderati.
Trojan (Trojan Horses)
I trojan si camuffano come software legittimo per indurre gli utenti a scaricarli. Una volta che la vittima installa il malware, fornirà payload dannosi che possono spaziare dalla creazione di backdoor per gli aggressori al furto di dati o persino alla fornitura di un controllo completo del sistema. I trojan sono incredibilmente versatili e possono assumere molte forme, tra cui trojan backdoor, trojan bancari e trojan di accesso remoto (RAT). Ad esempio, i Trojan bancari prenderanno di mira specificamente le informazioni finanziarie, mentre i RAT consentono agli aggressori di monitorare e controllare i dispositivi infetti da remoto.
Esempio di trojan: lo Zeus Trojan, attivo dal 2007, è uno degli esempi più noti, che ha rubato milioni di dollari rubando credenziali bancarie e informazioni di accesso.
Ransomware
Il ransomware è un tipo di malware che crittografa i dati di una vittima e ne impedisce l'accesso fino al pagamento di un riscatto. Gli attacchi ransomware sono diventati sempre più comuni con gli attacchi di alto profilo ad aziende, ospedali e agenzie governative come obiettivo dell'aggressore per i cospicui pagamenti di riscatto. Gli aggressori spesso utilizzano email di phishing o download dannosi per eseguire il loro attacco.
Esempio di ransomware: uno degli attacchi ransomware più devastanti, Petya, ha colpito nel 2016, crittografando interi dischi rigidi e paralizzando le organizzazioni fino a quando non hanno pagato il riscatto. I danni finanziari e operativi causati dal ransomware possono essere enormi, in quanto possono portare a tempi di inattività, perdita di dati sensibili e costosi pagamenti di riscatto.
L'utilizzo del ransomware per estorcere denaro è uno degli schemi di criminalità informatica di maggior successo. Oggi, i gruppi altamente organizzati lo offrono come modello di servizio ad altri criminali. Secondo l'Agenzia dell' Unione Europea per la sicurezza informatica (ENISA), le cosiddette organizzazioni “Ransomware as a Service” sono responsabili di quasi 1500 attacchi riusciti contro aziende dell'UE tra luglio 2023 e giugno 2024.
Spyware
Lo spyware è un tipo di malware che raccoglie dati sensibili da sistemi infetti senza che l'utente ne sia a conoscenza. Può monitorare le abitudini di navigazione, registrare le sequenze di tasti e acquisire le credenziali di accesso, ponendo una grave minaccia sia alla privacy individuale che alla sicurezza aziendale.
Esempio di spyware: Pegasus spyware, scoperto nel 2016, è un ottimo esempio, che consente agli aggressori di accedere ai dati su dispositivi iOS e Android. Lo spyware viene spesso fornito in bundle con software dall'aspetto legittimo o attraverso download di siti web dannosi. Gli aggressori possono utilizzare queste informazioni per furto di identità, spionaggio aziendale o altri scopi dannosi.
Adware
L'adware è un tipo di malware che visualizza pubblicità indesiderate su sistemi infetti e, sebbene sia considerato meno dannoso di altri tipi di malware , può comunque comportare rischi significativi. Lo scopo dell'adware è generare entrate per gli aggressori visualizzando annunci e tramite PPC (Pay Per Click) se l'utente clicca su un annuncio pubblicitario. Sebbene l'adware non rubi in genere dati sensibili, può degradare l'esperienza utente e aprire la porta a infezioni malware più gravi.
Esempio di adware: adware Fireball, che ha infettato milioni di sistemi nel 2017, dirottato i browser e monitorato il comportamento degli utenti a scopo pubblicitario, evidenziando la natura invadente dell'adware.
Coinminer dannoso (noto anche come Virus Coinmining, Cryptojacking)
L'estrazione di criptovalute come il Bitcoin è legale a condizione che il sistema sottostante appartenga al minatore o venga dato il consenso del proprietario. Tuttavia, i criminali infettano regolarmente i sistemi illegalmente con questo tipo di software che assegna a questo metodo il nome di "criptojacking". Man mano che il malware scarica l'energia dell'ospite cercando di generare monete di criptovaluta che potrebbero essere vendute dall'attore delle minacce.
Esempio di Coinminer dannoso: rubare Energie è spesso considerato un problema minore e quindi ignorato. I virus del mining di monete vengono quindi utilizzati anche dai criminali "Access as a Service" per generare un po' di denaro mentre attendono i loro clienti.
Rootkit
I rootkit sono alcuni dei tipi di malware più pericolosi e difficili da rilevare e rimuovere. Questi strumenti dannosi consentono agli aggressori di ottenere un accesso privilegiato e a lungo termine a un sistema nascondendo la loro presenza sia agli utenti che al software di sicurezza. I rootkit possono manipolare i file di sistema, alterare i processi e modificare le impostazioni di sicurezza per evitare il rilevamento, consentendo agli aggressori di mantenere il controllo su un sistema compromesso per periodi prolungati.
Esempio di rootkit: nello scandalo rootkit Sony BMG del 2005, il software rootkit è stato installato segretamente sui CD per impedire la copia, rendendo i sistemi vulnerabili a ulteriori attacchi malware.
Keylogger
I keylogger sono una forma di spyware progettata per registrare le sequenze di tasti di un utente, consentendo agli aggressori di acquisire informazioni sensibili come password, numeri di carte di credito e messaggi privati. I keylogger vengono spesso distribuiti attraverso attacchi di phishing o raggruppati con altri malware. Una volta installati, registrano in silenzio ogni sequenza di tasti, inviando i dati all'aggressore per lo sfruttamento. Questo tipo di malware è particolarmente pericoloso negli ambienti finanziari e aziendali, dove le credenziali di accesso ai conti bancari o ai sistemi sicuri possono essere rubate.
Esempio di keylogger: Limitless Keylogger e Predator Pain sono due keylogger popolari che spesso si diffondono tramite email di phishing e allegati dannosi. Questi strumenti sono stati offerti come kit pronti all'uso, consentendo agli aggressori di rubare le credenziali di accesso, monitorare l'attività degli utenti ed estrarre informazioni sensibili. La loro semplicità ha contribuito al loro uso diffuso nel crimine informatico e nello spionaggio, prendendo di mira sia le persone che le organizzazioni.
Botnet
Una botnet è una rete di dispositivi compromessi, noti anche come "zombie", che sono controllati da remoto dagli aggressori. Questi dispositivi possono essere utilizzati per attacchi su larga scala, come attacchi DDoS (Distributed Denial of Service) o campagne di spam. Le botnet sono spesso costruite infettando i dispositivi con malware, trasformandoli in partecipanti sconosciuti in attività dannose.
Esempio di botnet: una delle più grandi botnet, Mirai, è stata responsabile di un massiccio attacco DDoS nel 2016 che ha temporaneamente chiuso i principali siti web. Le botnet possono essere utilizzate per sopraffare le reti, rubare dati o eseguire altre azioni dannose senza che l'utente ne sia a conoscenza.
Misure preventive e best practice
Per proteggerti da questi vari tipi di malware , dovresti adottare alcune delle best practice menzionate di seguito:
Mantieni aggiornato tutto il tuo software: aggiorna regolarmente i tuoi sistemi operativi, i driver di sistema e tutto il software sul tuo dispositivo. Gli aggiornamenti software spesso contengono patch che sono una soluzione per problemi o vulnerabilità specifici che potrebbero essere sfruttati.
Usa firewall: i firewall bloccano l'accesso non autorizzato alle reti e monitorano il traffico in entrata e in uscita per rilevare eventuali attività sospette.
Educare i dipendenti: i dipendenti devono ricevere una formazione sulla cybersecurity per aiutarli a individuare i tentativi di phishing e identificare link o download dannosi.
Implementa gli strumenti di rilevamento e risposta degli endpoint (EDR): le soluzioni EDR forniscono monitoraggio e rilevamento continui delle minacce alla sicurezza su tutti i dispositivi, contribuendo a bloccare il malware prima che possa causare danni diffusi.
Piattaforma Trend Vision One™
Il blocco più rapido degli avversari e il mantenimento del controllo dei rischi informatici partono da una piattaforma singola. Gestisci la sicurezza in modo olistico con funzionalità complete di prevenzione, rilevamento e risposta basate su IA, ricerca e intelligence sulle minacce leader del settore.
Trend Vision One supporta ambienti IT ibridi diversi, automatizza e orchestra i workflow e fornisce servizi di cybersecurity esperti, in modo da semplificare e far convergere le operazioni di sicurezza.
Jon Clay lavora nel settore della cybersecurity da oltre 29 anni. Jon sfrutta la sua esperienza nel settore per educare e condividere informazioni su tutte le ricerche e le informazioni sulle minacce pubblicate esternamente da Trend Micro.
Domande frequenti (FAQ)
Quali sono i diversi tipi di malware?
I tipi di malware includono virus, worm, trojan, ransomware, spyware, adware, rootkit, botnet, keylogger e altri software dannosi che colpiscono sistemi.
Quanti tipi di malware esistono?
Esistono molti tipi di malware, generalmente classificati come virus, worm, trojan, ransomware, spyware, adware, rootkit e moderne minacce ibride.
Quali sono i tipi di malware più comuni?
I malware più comuni includono virus, trojan, ransomware, spyware, adware e worm, spesso usati per rubare dati o compromettere sistemi.