Cos’è il malware, come evitarlo e come rimuoverlo

Nelle sue varie manifestazioni, il malware costituisce la minaccia informatica più diffusa in assoluto, in grado di mettere in seria difficoltà chiunque abbia a che fare con un dispositivo connesso alla rete. Dal semplice cittadino alla grande azienda con decine di sedi a livello internazionale, nessuno può dirsi al sicuro dalla possibile influenza di un malware. Ne esistono moltissime tipologie, da quelle apparentemente innocue ad attacchi capaci di causare danni miliardari.

In questo servizio cercheremo di soffermarci sugli aspetti fondamentali del malware, in particolare per quanto riguarda gli aspetti di igiene informatica, semplici accorgimenti che qualsiasi persona dovrebbe conoscere per evitare di cadere con facilità nelle insidiose trappole dei cybercriminali.

Cosa significa malware

Il malware è un software malevolo, solitamente utilizzato dai cybercriminali per condurre i loro illegali scopi ai danni dei sistemi informatici connessi alla rete. Almeno in linea teorica, infatti, nessun dispositivo connesso alla rete può dirsi al sicuro dall’azione di un malware.

La natura ostile del malware è finalizzata ad infiltrarsi in computer, server e sistemi mobile per creare un danno spesso irreversibile, rendere impossibile la regolare esecuzione di un servizio o l’accesso ai dati archiviati sui sistemi violati. L’attaccante molto spesso sfrutta un malware per penetrare all’interno del perimetro di sicurezza informatica ai fini di controllare i sistemi strategici per finalizzare varie attività, tra cui l’esfiltrazione dei dati, l’impiego delle macchine connesse ad una rete per distribuire agenti virali, la conduzione di attacchi DDoS e molto altro ancora.

Quando un cybercriminale riesce a penetrare all’interno di un sistema ed assumere il controllo delle macchine, diventa molto difficile individuarlo fino a quando la sua azione non si manifesta in maniera volontaria. Le strategie che portano gli attaccanti ad utilizzare i malware sono molto diversificate.

Se l’intenzione fosse quella di spiare ciò che accade in una rete, il malintenzionato farebbe di tutto per non farsi scoprire e rimanere all’interno il più a lungo possibile. Se venisse scoperto ed eradicato dalla rete, buona parte dei suoi sforzi risulterebbero vani. Qualora l’intenzione fosse quella di creare un danno o impedire l’accesso a qualche risorsa, il risultato dell’azione sarebbe decisamente differente, in quanto l’attaccante deve cercare di cogliere di sorpresa la vittima e colpirla con estrema violenza nel minor lasso di tempo possibile.

La breve storia del malware

La grande diffusione dei malware è andata di pari passo con la crescita del traffico sulla rete Internet e, come era lecito attendersi, ha avuto una netta ascesa grazie alla pandemia Covid-19, che ha notevolmente intensificato le attività online, dal lavoro in remoto al maggior numero di transazioni digitali legate ad una grande varietà di operazioni, come l’e-commerce e l’accesso ai servizi fondamentali.

Tuttavia, la storia dei malware inizia ben prima della nascita di Internet come lo intendiamo adesso, quando il World Wide Web non era ancora nei programmi di Tim Berners-Lee, che lo avrebbe proposto soltanto nel 1989. I più giovani conosceranno i Creeper come le ostili creature di Minecraft, ma gli informatici più antichi, così come gli appassionati di storia della tecnologia, probabilmente anche senza leggere queste righe sanno benissimo che nel lontano 1971 vide la luce un altro Creeper, che probabilmente è stato il primo malware in assoluto.

Creato dall’ingegner Robert Thomas, nel corso di un esperimento di infezione dei mainframe ARPANET, Creeper non era ancora in grado di rubare o cancellare i dati presenti sulle unità di storage del sistema informatico, come nel caso dei virus che sarebbero arrivati ben successivamente, ma poteva spostarsi da una macchina all’altra ridicolizzando i sistemisti con il messaggio “I’m the creeper: catch me if you can”. Roba per nerd che si divertivano a rendere sempre più dispettosi le prime forme virali programmate all’interno dei laboratori informatici. Il ricercatore Ray Tomlinson ben presto creò una variante di Creeper capace di replicarsi in autonomia e diffondersi su più macchine, dando vita al primo worm.

Poi sono arrivati i favolosi anni Ottanta. Allora i virus si diffondevano sui floppy disk. I più giovani forse non li ricorderanno, ma questi supporti magnetici sono stati utilizzati per tantissimi anni ai fini di trasferire dati e software da un computer all’altro. Talvolta i floppy disk contenevano dei virus, capaci di diffondersi tra un sistema all’altro, infettandoli in vari modi. Ciò accadeva già ad esempio quando il virus Elk Cloner, utilizzando quale vettore proprio i floppy disk, iniziò a diffondersi sugli iconici Apple II. Per quanto abbastanza innocuo nella sua azione, Elk Cloner è stato capace di diffondersi su larga scala, infettando molti sistemi in tutto il mondo, dando sostanzialmente il via a quella escalation di virus e worm che avrebbe impazzato negli anni Novanta, quando l’obiettivo numero uno è diventato Windows.

Il sistema operativo di Microsoft è sempre stata una vittima prediletta per i malware, soprattutto grazie alla facilità di programmare le macro dei documenti Word. Se l’avvio di un’applicazione può creare qualche sospetto nei confronti dell’utente, l’apertura di un file di Word appare un gesto molto più naturale e consueto, ma se la sua provenienza non è più che nota e il documento contiene delle macro, i rischi che si tratti di materiale virale è più che mai concreto. Tali virus possono ad esempio corrompere una particolare tipologia di file presenti sull’hard disk, violare il registro di sistema e condurre altre azioni in grado di compromettere il regolare utilizzo del sistema operativo.

Gli anni duemila hanno visto la crescete diffusione della rete Internet, l’aumento del traffico e-mail e l’impiego dei software di instant messaging, tutti fattori che hanno facilitato di gran lunga l’azione dei produttori di malware, la cui varietà di canali di diffusione virale è aumentata a dismisura. Oggi con le reti DSL il problema non si pone più, ma chi ha vissuto l’epoca delle connessioni in dial-up ricorderà senz’altro lo spauracchio degli adware malevoli, in grado di reimpostare la connessione verso località esotiche, con conseguenti salassi sulla bolletta dell’ignaro navigante.

Gran parte dei rischi di infezione della prima era della diffusione mainstream di Internet era dovuta all’azione degli adware ed in generale alla navigazione di siti poco raccomandabili, in cui era piuttosto semplice cliccare ed abilitare l’installazione sul proprio sistema operativo di applicazioni malevole.

Verso la fine degli anni duemila hanno iniziato a diffondersi con grande rapidità i social network, diventati a loro volta canali di diffusione virale attraverso i link a collegamenti web malevoli. Altrettanto pericolose sono state, e sono tuttora, le estensioni dei browser utilizzati per navigare su Internet. Va pur detto che colossi come Facebook, Google, Apple e Microsoft sono molto attivi per garantire la sicurezza dei loro ecosistemi, per cui se uno si mantiene sugli store ufficiali, i rischi di infezione sono ad oggi abbastanza contenuti.

Nel frattempo, sono accadute molte altre cose. Hanno fatto la loro comparsa i famigerati trojan e gli attaccanti hanno iniziato a sfruttare le vulnerabilità dei sistemi per condurre attacchi mirati, definiti exploit, ma l’anno che ha segnato per sempre la svolta evolutiva del malware è stato il 2013, quando fece la sua comparsa Cryptolocker, il primo ransomware in grado di diffondersi su larga scala a livello mondiale, infettando milioni di computer.

Il ransomware è una particolare tipologia di malware che, tra le altre cose, cripta i dati e li rende inaccessibili al legittimo proprietario, a cui viene chiesto un riscatto per ricevere la chiave in grado di sbloccarli. Questa proprietà ha segnato un punto di svolta non soltanto nella virologia informatica, ma sulla scena del crimine in senso assoluto. Il riscatto ha introdotto la possibilità di condurre attacchi molto remunerativi, creando una vera e propria escalation del crimine informatico, la cui ascesa continua senza sosta ancora oggi, con formule sempre più sofisticate e pericolose, sfruttando alla grande le oscure lande del dark web.

Il Malware-as-a-Service

Il presente e il futuro del business cybercriminale prevede, tra le altre ignobili prassi, il Malware-as-a-Service, che consiste nel rendere disponibile un servizio che prevede un malware pronto all’uso, senza doverlo sviluppare da zero, da utilizzare per i propri illegali scopi. Tale servizio può essere venduto a terzi attraverso il dark web o essere utilizzato dai provider stessi per conto terzi, nei confronti di particolari bersagli.

Il Malware-as-a-Service rientra sotto il più ampio cappello del Cybercrime-as-a-Service, che prende spunto dal modello di business caratteristico delle soluzioni in cloud per offrire servizi a terzi, che non dispongono delle risorse o delle capacità necessarie per dare seguito alle loro intenzioni criminali. La semplicità d’uso e i rischi relativamente bassi che si corrono utilizzando tali servizi ha consentito il loro rapido proliferare, con un trend pare destinato a proseguire in maniera ancora più sostenuta in futuro, allargando la platea dei cybercriminali attivi nella rete.

Come faccio a sapere se ho malware sul mio pc?

I malware possono infiltrarsi in vari modi nei sistemi informatici delle vittime. Molto spesso, la causa deriva dall’errore umano. È infatti sufficiente un click su un allegato virato contenuto in una mail, così come il semplice accesso ad una pagina web in grado di scaricare sul dispositivo un eseguibile malevolo, per rimanere vittime, spesso ignare, di un’ampia varietà di attacchi alla sicurezza informatica.

Le modalità con cui è possibile contrarre un malware sono molto varie ed a queste va aggiunta la capacità dei cybercriminali di sfruttare le vulnerabilità di un sistema per infiltrarsi direttamente al suo interno. Un tempo la presenza di malware su un sistema era resa evidente da un rallentamento generale delle prestazioni o da altre anomalie. Di recente l’azione dei malware si è notevolmente raffinata, al punto che l’utente poco accorto in fatto di gestione di sistemi il più delle volte non si accorge di essere stato infetto.

La diagnostica anti-malware varia sensibilmente a seconda del contesto da analizzare, che spazia dal semplice pc personale ad un endpoint in ambito aziendale. A livello di dispositivo singolo è spesso sufficiente eseguire una scansione con un software anti-malware. I più diffusi, come Malwarebytes supportano diversi sistemi operativi e, anche nelle versioni gratuite, sono in grado di rilevare la presenza dei malware più diffusi, oltre a quarantenare o rimuovere i file coinvolti. Le versioni a pagamento degli stessi software consentono solitamente di pianificare le scansioni ed automatizzare altre procedure.

In ambito aziendale, soprattutto se emerge la notizia che un endpoint connesso alla rete è stato infetto da un malware occorre procedere con una scansione più ampia, onde scongiurare la presenza di malware silente su alcune macchine, che potrebbe agire in background come spyware o essere attivato in un secondo momento da chi lo controlla. Ricordiamo che oltre all’infezione di un endpoint, dovuto molto spesso ad un errore umano, un malware può penetrare all’interno del perimetro di sicurezza aziendale grazie ad una vulnerabilità di sistema, che consente all’attaccante di infiltrarsi in autonomia per prendere il controllo di una o più macchine al suo interno.

Come rimuoverlo

Nei casi più semplici, come citato, è sufficiente rimuovere l’infezione utilizzando un software anti-malware, che dispone di funzioni specifiche, come la quarantena o la cancellazione dei file malevoli. Nel caso di un sistema aziendale, eliminare subito il malware non sempre equivale alla scelta più ragionevole. Sarebbe infatti più auspicabile adottare un approccio di incident response, finalizzato a conoscere tutti gli estremi dell’attacco subito prima di procedere alla sua eradicazione.

Qualora decidessimo di espellere l’attaccante prima di aver identificato le cause e la magnitudo dell’attacco subito, perderemmo una grande opportunità dal punto di vista investigativo, rimarremmo ignari in merito alla presenza di possibili vulnerabilità e rischieremmo, con probabilità molto elevate, di subire nuovamente lo stesso attacco nel giro di breve tempo.

Ogni azienda attenta alle proprie sorti in fatto di sicurezza informatica dovrebbe infatti disporre di un SOC (Security Operations Center) o un vero e proprio IRT (Incident Response Team), capace di assumere, come vedremo in seguito, sia un atteggiamento di tipo reattivo, finalizzato a mitigare l’attacco subito ed eradicare la minaccia soltanto dopo aver ricostruito la sua dinamica complessiva, ed un atteggiamento di tipo proattivo, fondamentale per prevenire gli incidenti di sicurezza informatica.

Le tipologie di malware

Quando nell’ambito della sicurezza informatica si utilizza il termine malware, non si identifica di fatto una minaccia, ma uno spettro molto ampio di situazioni, tale è la quantità e la varietà di possibili agenti malevoli diffusi attraverso la rete. Ci limitiamo ad un rapido elenco delle tipologie di malware più diffusi, rimandando ad approfondimenti specifici in relazione ad ognuno di essi.

• Virus: sono i malware più noti e storicamente diffusi. Se eseguito può facilmente infettare file e applicazioni su qualsiasi sistema operativo;
• Worm: variante di virus in grado di replicare in maniera autonoma, senza la necessità di un’applicazione o dell’interazione diretta da parte dell’attaccante;
• Trojan: il nome è un chiaro riferimento al celebre cavallo di Troia, la macchina da guerra utilizzata dai greci per introdursi all’interno delle difese dell’omonima città rivale, spacciandola inizialmente per un dono. In varie circostanze il trojan horse è diventato d’uso comune per identificare uno stratagemma con cui penetrare all’interno delle difese avversarie. Lo stesso concetto vale per i malware che, una volta installati da un utente ignaro della pericolosità che nascondono al loro interno, diventano in grado di attivare funzioni malevole sulle macchine infettate;
• Rootkit: è un malware che ha lo scopo di fornire all’attaccante i diritti di amministrazione della macchina infettata. Una volta ottenuto tale privilegio, è possibile controllare in vari modi il sistema, spesso per veicolare al suo interno ulteriori minacce;
• Adware: spesso più fastidiosi che effettivamente dannosi, ed altrettanto rognosi da rimuovere, questi malware consentono di tracciare i cookie di navigazione dei browser per attivare di conseguenza alcuni popup indesiderati, con lo scopo di mostrare contenuto pubblicitario relativo ai nostri possibili interessi;
• Keylogger: la loro azione è semplice quanto micidiale, in quanto consente di tracciare la digitazione dei tasti, consegnando all’attaccante i dati di login, le password e tutte le informazioni che l’utente inserisce nelle varie applicazioni attraverso la tastiera. Questo sistema è molto utilizzato per le frodi basate sul furto dei dati di accesso e dell’identità digitale. La loro pericolosità è data dal fatto che consente di ottenere anche le informazioni di conferma dei sistemi di autenticazione multifattoriale, traendo spesso in inganno anche gli utenti non del tutto sprovveduti;
• Spyware: come il nome stesso suggerisce, si tratta di un malware che agisce quale spia all’interno di un sistema, con l’obiettivo di osservare le sue operazioni e comunicarle all’attaccante. Lo spyware consente inoltre di esfiltrare i dati presenti sui dispositivi connessi alla rete, a cui la macchina controllata è in grado di accedere. Si tratta di malware molto pericolosi, in quanto sviluppati appositamente per essere molto discreti e difficili da individuare anche dai sistemi anti-malware;
• Botnet: si tratta di malware in grado di replicare la loro presenza su un numero enorme di macchine, ai fini di dotare l’attaccante di una enorme potenza di fuoco ad esempio per diffondere altri malware, come spesso avviene per propagare rapidamente i ransomware, o effettuare attacchi DDoS (Distributed Denial of Service), che necessitano di una enorme quantità di risorse per sovraccaricare il loro bersaglio e renderlo inutilizzabile. Le botnet sono pertanto molto preziose nelle dinamiche del Cybercrime-as-a-Service;
• Crypto-mining: si tratta di un malware la cui azione è dichiaratamente ispirata ai progetti di calcolo distribuito, spesso svolte con finalità benefiche (SETI program, Folding@Home, ecc.). In questo caso, il beneficiario è un minatore di criptovalute che utilizza in maniera illegale le risorse computazionali delle sue vittime per eseguire i suoi scopi. Il malware agisce in background con bassa priorità, utilizzando le risorse quando sono scariche, in modo che il legittimo proprietario non si accorga della sua presenza, almeno fino a quando non riceve la bolletta dell’energia elettrica;
• Exploit: si tratta di attacchi con cui i cybercriminali sfruttano delle vulnerabilità di sistema, come i bug di un software legittimo, per assumere in vari modi il controllo delle macchine. È molto difficile difendersi da tali attacchi, perché l’utente non potrebbe mai sospettare che, ad esempio, il browser che utilizza, attraverso una richiesta malevola in grado di sfruttare un suo bug, scarichi del software in grado di essere eseguito automaticamente in remoto sulla macchina;
• Ransomware: rappresenta l’indiscusso re dei malware. La sua azione di base prevede la crittografia dei file presenti su una macchina, rendendoli di fatto inaccessibili, ai fini di richiedere un riscatto alla vittima. Il ransomware può agire sia sui dati che sui sistemi, rendendoli inutilizzabili. Un ransomware consente di attuare molte strategie criminali, tra cui la purtroppo nota modalità a doppia estorsione. Tale attacco viene attuato in due differenti fasi. In primo luogo, l’attaccante penetra nel sistema della vittima per esfiltrare i dati e soltanto successivamente provvede alla loro crittografia. Una volta che la vittima si accorge del danno, viene pertanto sottoposta ad un duplice ricatto, teso a vanificare anche una corretta strategia di backup e ripristino. Oltre al tradizionale riscatto per rimuovere la crittografia, si aggiunge la minaccia di diffondere in maniera illecita i dati qualora non venga pagato un adeguato corrispettivo. Spesso i criminali iniziano a diffondere in rete una parte dei dati rubati, sia per dimostrare alle vittime che dispongono effettivamente dei loro dati, sia per attirare possibili acquirenti illeciti. Una delle nuove frontiere di questo business cybercriminale è dato dalla pratica del Ransomware-as-a-Service, che consente a chiunque sia un minimo pratico del dark web di ottenere un toolkit pronto per condurre personalmente i propri attacchi, anche senza possedere conoscenze informatiche approfondite.

Malware e smartphone

Domanda a bruciapelo: gli smartphone sono sicuri dai malware? Secondo voi, i cybercriminali potrebbero rimanere indifferenti ad oltre due miliardi di dispositivi personali in cui ogni utente conserva dati sensibili, accessi ai servizi finanziari ed altre applicazioni strategicamente vitali? La risposta è ovviamente no. Ragion per cui gli smartphone costituiscono un bersaglio di varie tipologie di malware, opportunamente sviluppati per infettare e prendere il controllo delle applicazioni sui sistemi operativi iOS ed Android.

I malware possono consentire all’attaccante di prendere il controllo della camera, del microfono, del GPS e di altre risorse hardware e software presenti sul sistema. Il modo più semplice per beccarsi un malware sullo smartphone, inutile dirlo, risiede nello scaricamento di app dagli store non ufficiali o dall’esecuzione di un jailbreak. Chi effettua queste operazioni per il gusto di installare una app senza pagarla, corre di fatto dei rischi enormi, capaci di costargli molto cari in termini di conseguenze.

Un’altra situazione di grande rischio, soprattutto per il fatto che all’apparenza il rischio è così evidente soprattutto agli occhi dell’utente comune, che non dispone di adeguate conoscenze in fatto di infrastrutture e protocolli di rete, è dato alle connessioni Bluetooth o Wi-Fi.

Un malintenzionato potrebbe utilizzare una connessione NFC per sottrarci dei dati preziosi, oppure sniffare i nostri dati durante il loro trasferimento, qualora ci connettessimo con una certa imprudenza ad una rete Wi-Fi soggetta ad un attacco Man-in-the-middle. Tale condizione consente all’attaccante di penetrare nella rete e posizionare i propri agenti malevoli in modo che possano intercettare il traffico dei dati attivo su tali reti.

Quando ci connettiamo ad un Wi-Fi pubblico, sarebbe preferibile farlo con un dispositivo personale in cui non abbiamo dati particolarmente rilevanti, senza mai utilizzarlo per operazioni rischiose come l’internet banking o altre operazioni che, se intercettate, potrebbero dare luogo a frodi dalle conseguenze spesso drammatiche.

Android, grazie alla sua maggior diffusione e alla sua maggior apertura alla personalizzazione è mediamente molto più soggetto all’azione dei malware rispetto ad iOS, su cui Apple ha gioco ben più facile dato il limitato numero di dispositivi su cui è distribuito e per il fatto che il suo app store è sottoposto a regole molto rigide per autorizzare la pubblicazione. In ogni caso, anche un iPhone può diventare un dispositivo a rischio malware quando l’utente che lo impiega agisce in maniera scriteriata, aprendo allegati mail infetti o navigando su siti web poco raccomandabili.

Quando ci si connette alla rete Internet, occorre sempre ricordare che non si è mai del tutto al sicuro dall’infezione di un malware e questo vale soprattutto nel caso dei sistemi mobile, che si avvalgono spesso e volentieri di connessioni non private.

Per accorgersi se uno smartphone è infettato o meno da un malware esistono, come nel caso dei PC, appositi software anti-malware. I sintomi più frequenti sono una CPU mediamente molto utilizzata quando magari non abbiamo applicazioni attive, un traffico dati anomalo, sia nella quantità che nella qualità, con comunicazioni di testo o chiamate non effettuate dal legittimo proprietario. Anche un consumo anomalo della batteria potrebbe essere indicativo di un’applicazione in background non autorizzata. Tenere d’occhio i processi attivi ed il consumo delle risorse di sistema costituisce pertanto una buona prassi per identificare la presenza di un malware su un sistema mobile.

Malware su Mac e Linux

Un falso mito da sfatare è quello che vorrebbe i Mac e i PC con sistema operativo Linux immuni dall’azione virale dei malware. Nulla di più falso. Il fatto che Windows costituisca un bersaglio privilegiato non vuole assolutamente dire che altri sistemi operativi non siano altrettanto soggetti all’azione dei cybercriminali.

Chi utilizza pertanto sistemi Mac o Linux deve prestare le stesse attenzioni nei confronti del malware di chi utilizza sistemi Windows, Android o iOS. Questa considerazione vale soprattutto nell’utilizzo dei browser durante la navigazione e in qualsiasi circostanza si preveda l’inserimento dei dati di accesso, in quanto si profila il rischio concreto di rimanere vittime della trappola di un phising o di altre pratiche malevole in grado di coinvolgere l’azione di un malware programmato per svolgere una frode.

Come difendersi dal malware

Per difendersi dall’infezione di un malware occorre innanzitutto tenere presenti le più elementari pratiche di igiene informatica, considerando che in ambito aziendale non è ammissibile che i dipendenti cadano puntualmente in errori grossolani, capaci di condizionare in maniera evidente la sicurezza dei sistemi aziendali.

Al tempo stesso, le organizzazioni devono garantire adeguati percorsi di formazione in fatto di sicurezza informatica relativi all’utilizzo dei propri sistemi, in modo da rendere consapevoli i dipendenti, creando una vera e propria cultura diffusa nell’utilizzo dei dati e delle applicazioni. Gli endpoint a loro disposizione andrebbero utilizzati esclusivamente per l’attività professionale, destinando ad altri dispositivi le funzioni relative all’impiego personale.

Tra le buone prassi di sicurezza informatica che chiunque, per utilizzo personale o professionale, dovrebbe adottare, possiamo ad esempio sintetizzare:

• Aggiornare puntualmente il sistema operativo e le applicazioni, compresi gli anti-malware, in modo che siano efficienti contro i malware più recenti. Tale prassi è particolarmente rilevante nel caso della protezione nei confronti dei malware polimorfici, capaci di mutare per eludere puntualmente i sistemi deputati alla loro identificazione;
• Attivare una scansione anti-malware pianificata, in modo da assicurare un monitoraggio regolare sulle macchine, senza la necessità di ricordarsi di eseguirla manualmente, il che si traduce in possibili e fatali dimenticanze;
• Attivare i pop-up blocker del proprio browser, qualora non fossero già attivi di default ed evitare in ogni caso di cliccare sui pop-up durante la navigazione su internet;
• Non aprire allegati e-mail senza essere certi che siano stati analizzati da un antivirus affidabile. Diffidare a priori degli allegati provenienti da fonti ignote;
• Evitare di navigare su siti poco raccomandabili e scaricare software da siti di cui non si ha l’assoluta certezza di affidabilità;
• Evitare di scaricare file da reti peer-to-peer, a maggior ragione se si tratta di software non originale;
• Evitare il download di applicazioni di terze parti, come le estensioni dei software, senza l’assoluta certezza che ciò avvenga sui marketplace ufficiali. Costituisce ulteriore cautela la lettura delle recensioni del software che si intende scaricare, che potrebbero ad esempio rilevare problemi di sicurezza anche in applicazioni in teoria assolutamente affidabili, in quanto approvate dalle procedure di controllo dei marketplace stessi;
• Evitare di scaricare contenuti dai programmi di instant messaging, come Whatsapp e Telegram, se non si è assolutamente certi della loro provenienza;

Nel caso dei sistemi aziendali, è necessario che tali prassi, universalmente valide, siano supportate da ulteriori misure di sicurezza, come un sistema di directory in grado di garantire l’accesso soltanto agli utenti e ai dispositivi identificati e autorizzati ad accedere a specifiche regioni della rete aziendale, con i relativi privilegi dettati dalle policy.

Gli endpoint e i dispositivi connessi alla rete aziendale devono essere costantemente monitorati da appositi sistemi, come i SIEM (Security Information and Event Management), in grado di rilevare ogni possibile anomalia possa rivelarsi sintomatica di un’infezione da parte di un malware. Il SIEM è capace di analizzare in tempo reale i log delle attività e costituisce pertanto uno strumento chiave nella pratica dell’incident response.

In generale, nel contesto di un efficace IRP (Incident Response Plan) dovrebbe dedicare nelle sue fasi caratteristiche alcune attenzioni specifiche nei confronti dei malware:

• Identificazione: per rilevare con esattezza quali endpoint sono stati attaccati da un malware;
• Comunicazione: una volta identificata la magnitudo dell’attacco, occorre attivarsi per comunicare la notifica dell’incidente di sicurezza informatica agli organi preposti. Tale mansione risulta obbligatoria nei confronti di alcune categorie di aziende coinvolte nella supply chain dei servizi fondamentali e delle infrastrutture critiche;
• Mitigazione: bloccare tutte le fonti di accesso del malware, bannando tutti i possibili IP interessati, prima di provvedere alla definitiva eradicazione della minaccia, in modo che l’attaccante non sia in grado di penetrare nuovamente all’interno del perimetro di sicurezza informatica;
• Ripristino: delle macchine interessante dall’attacco malware, attraverso la reinstallazione pulita del sistema operativo e delle applicazioni utili;
• Recupero: dei dati interessati dall’attacco malware, in particolare se si tratta di un ransomware. Tale pratica è possibile soltanto se si è eseguita in maniera efficace una corretta strategia di backup;
• Monitoraggio: dopo l’incidente è necessario verificare che non si ripeta la stessa dinamica che lo ha causato, in quanto è pressoché certo che un attaccante riprovi a penetrare nei sistemi già violati. La miglior conferma di aver eseguito un buon lavoro di incident response deriva proprio dalla capacità di bloccare un attacco malware identico o più severo rispetto a quello subito in precedenza.