OK, tecnicamente, questo articolo riguarda i malware in generale, non i virus in particolare.
A rigor di termini, il virus si riferisce a un tipo di malware che si diffonde da solo, quindi una volta che è nel tuo sistema, potresti finire con centinaia o addirittura migliaia di file infetti …
… su tutti i computer della tua rete e nelle reti che la tua rete può vedere, eccetera, eccetera…
In questi giorni, tuttavia, i truffatori non hanno davvero bisogno di programmare la diffusione automatica nel loro malware – grazie alla connettività Internet sempre attiva, la parte di “diffusione” è più facile che mai, quindi è uno step che i truffatori possono tranquillamente tralasciare.
Ma la parola virus è rimasta come sinonimo di malware in generale, ed è così che usiamo la parola in questo caso.
Quindi, per la cronaca, ecco sette categorie di malware che ti danno un’idea dell’ampiezza e della profondità del rischio che il malware può comportare per la tua organizzazione.
KEYLOGGERS
I keylogger sono sorprendentemente semplici e possono essere implementati in molti modi diversi.
In poche parole, si agganciano al flusso di dati che proviene dalla tastiera, consentendo loro di dire cosa hai digitato e quando.
In effetti, i keylogger spesso non sanno semplicemente che “hai digitato F” – ottengono abbastanza dettagli per dire che hai premuto il tasto Shift sinistro, poi premuto F, quindi rilasciato F, quindi rilasciato lo shift.
Ciò significa che possono anche tenere traccia delle sequenze di tasti che non producono alcun output visibile, come tasti funzione, backspaces e altre combinazioni di tasti che attivano o disattivano le opzioni.
È importante sottolineare che i keylogger non devono sempre essere implementati a livello di sistema operativo e spesso non hanno bisogno di poteri amministrativi o di root per agganciarsi al flusso di dati della sequenza di tasti.
Ad esempio, il codice JavaScript all’interno del tuo browser può monitorare (e, se lo desidera, alterare) il flusso di sequenze di tasti mentre navighi, il che significa che uno JavaScript errato iniettato in una pagina di accesso potrebbe, in teoria, riconoscere e rubare i tuoi nomi utente e password.
I trojan bancari [q.v.] includono molto comunemente un modulo keylogger in modo che possano provare a catturare le password quando riconoscono che sei nel bel mezzo dell’accesso alla tua banca.
È interessante notare che i keylogger esistono anche in forma hardware, un piccolo dispositivo collegato tra una tastiera esterna e la porta del computer a cui è collegato.
I keylogger hardware non possono essere rilevati in modo affidabile dal software (di solito si identificano sul computer come una normale tastiera), ma spesso possono essere individuati mediante un’ispezione visiva della normale tastiera o cavo.
DATA STEALER
Un data stealer è un malware che fa praticamente quello che suggerisce il suo nome: va a caccia sul tuo disco rigido e forse anche su tutta la tua rete, se può, alla ricerca di file che contengono dati che valgono denaro per i criminali.
All’inizio la maggior parte degli attacchi erano veri e propri virus informatici, il che significa che si diffondevano automaticamente da soli, spesso emettendo e-mail contenenti un allegato infetto.
All’epoca, molti virus includevano un toolkit di corrispondenza dei dati che attraversava praticamente tutti i file del tuo computer alla ricerca di stringhe di testo che corrispondessero a un modello come [spazi] [alfanumerici] AT [alfanumerici] DOT [alfanumerici], sul presupposto ragionevole che questo era probabilmente un indirizzo di posta elettronica.
Raccogliendo deliberatamente indirizzi e-mail da ogni parte, non solo dal tuo software di posta elettronica, hanno creato elenchi costosi di potenziali nuove vittime, anche persone che non avresti mai contattato ma i cui indirizzi sono comparsi in documenti, materiale di marketing o pagine salvate da siti Web .
In questi giorni, i truffatori sono interessati a molto più degli indirizzi e-mail da rubare: tutto ciò che può essere ridotto a un modello di corrispondenza del testo è sorprendentemente facile da cacciare e rubare, inclusi i dettagli del conto bancario, i numeri ID, i dati del passaporto, le carte di credito e password dell’account.
I data stealer sanno anche come riconoscere file speciali in base al loro nome o alla loro struttura interna, come i depositi delle password che contengono dettagli di accesso e i database del browser che possono contenere dati rivelatori come token di autenticazione e cronologia di navigazione.
Molti altri tipi di malware, in particolare i robot [q.v.] e i trojan bancari [q.v.], includono i moduli di data stealer come un modo utile per estendere la loro criminalità.
-
RAM SCRAPERS
I malware non riescono sempre a trovare ciò che vogliono nei file sul tuo computer, anche se il malware stesso ha già accesso a livello di amministratore o root.
Questo perché alcuni dati esistono solo temporaneamente in memoria, quindi vengono cancellati senza mai raggiungere il disco.
Uno dei motivi riguarda le normative sulla sicurezza dei dati come PCI-DSS, lo standard di sicurezza dei dati del settore delle carte di pagamento e il GDPR, il regolamento generale europeo sulla protezione dei dati.
Tali regolamenti affermano che ci sono alcuni elementi di dati che semplicemente non ti è permesso conservare dopo che hai finito con loro – dovresti usarli solo nel momento in cui ne hai bisogno, e poi sbarazzartene per sempre.
Un esempio evidente è il numero CVV (il codice funzione) sul retro della carta di credito: tale codice viene utilizzato per autorizzare una transazione ma non deve mai essere salvato su disco o conservato in altro modo oltre quel punto.
Questa è una brutta notizia per i cybercrook, perché significa che non possono facilmente ottenere codici CVV per transazioni che sono già avvenute …
… ma con il malware RAM SCRAPER che tiene d’occhio i dati che sono temporaneamente archiviati in memoria, i truffatori potrebbero essere in grado di identificare dati critici come CVV e informazioni complete sulla carta di credito e “cancellarli” direttamente dalla RAM.
Altri dati segreti appaiono spesso nella RAM, anche se brevemente, come chiavi di decrittazione, password in chiaro e token di autenticazione del sito Web, e i RAM scraper possono fare attenzione anche a questi.
BOT, aka ZOMBIES
Un bot, abbreviazione di programma robot, è un malware che apre una backdoor nel tuo computer in modo che i truffatori possano inviargli comandi da remoto.
Una raccolta di robot è nota, a sua volta, come botnet, acronimo di rete di robot, e i truffatori che controllano un esercito di robot in rete possono comandarli da remoto tutti allo stesso tempo, con risultati molto più drammatici che avere solo il controllo su uno o due computer su Internet.
I robot sono anche comunemente noti come zombi, perché agiscono un po’ come “agenti dormienti” che i criminali possono rivolgere contro di te su richiesta.
I comandi spesso integrati nei robot includono: l’invio di spam in grandi quantità, la ricerca locale di file, l’annullamento delle password, l’attacco ai siti Web di altre persone e il clic segreto sugli annunci online per generare entrate pay-per-click.
Una cosa importante da ricordare sui robot è che non si affidano ai truffatori che si connettono dall’esterno al computer per inviare loro i comandi, quindi non vengono automaticamente bloccati dal router di casa, che di solito impedisce tutte le connessioni di rete in entrata dall’esterno.
La maggior parte dei robot funziona chiamando regolarmente casa, creando sempre connessioni in uscita – cosa che il router di casa probabilmente consente – e scaricando l’ultimo elenco di comandi pubblicato dai truffatori.
Un altro fatto importante sui robot è che quasi tutti i bot rilasciati includono un comando che consente ai criminali di aggiornarlo o addirittura di sostituirlo ogni volta che lo desiderano.
Purtroppo, ciò significa che è difficile prevedere in anticipo quali danni i criminali potrebbero infliggere al tuo computer se scopri di essere stato infettato da un bot, perché potrebbe aver fatto qualcos’altro ieri e potrebbe passare a un attacco completamente nuovo domani.
TROJAN BANCARI
Questo è il termine generale per malware che segue informazioni sul tuo banking online.
Come puoi immaginare, i trojan bancari in genere includono un componente keylogger [q.v.] per carpire le password mentre le digiti.
Spesso hanno anche una parte di data stealer [q.v.] per esplorare file come database del browser e depositi di password nella speranza di trovare password non crittografate o dettagli dell’account.
Un altro trucco ampiamente utilizzato dai trojan bancari è noto come iniezione di moduli Web, in cui il malware aggiunge di nascosto campi di dati aggiuntivi nei moduli visualizzati nel browser.
In questo modo sperano di indurti a inserire ulteriori informazioni private, come il numero della tua carta di credito o la data di nascita, in un punto in cui normalmente non ti verrebbero poste tali domande.
Forse il nome più noto nella scena del trojan bancario è Gozi, una famiglia di malware ampia e vagamente definita che è apparsa per la prima volta più di un decennio fa.
Il codice sorgente originale di Gozi è stato pubblicato online molti anni fa e da allora questa famiglia di minacce si è moltiplicata e si è evoluta.
RATS
Il nome RAT è l’abbreviazione di Remote Access Trojan, in genere il tipo di strumento di accesso remoto che consente di spiarti acquisendo schermate private o accendendo segretamente la tua webcam.
Il RAT più noto è probabilmente Blackshades, che ha fatto notizia qualche anno fa, quando una variante di questa famiglia di malware è stata utilizzata da un criminale informatico chiamato Jared James Abrahams per spiare centinaia di donne, tra cui poi Miss Teen USA, Cassidy Wolf.
Abrahams è stato punito con una pena detentiva di 18 mesi; anche gli autori e i distributori del malware Blackshades sono stati arrestati e condannati in vari modi.
Una domanda che RATware solleva spesso è: “Può un autore di malware attivare la mia webcam senza accendere la luce?”
La risposta è, “dipende.”
Alcune webcam hanno il loro LED collegato con la webcam stessa, in modo che si accenda con la webcam in ogni caso; altri hanno il LED impostato in modo che possa essere programmato indipendentemente dalla webcam e su quest’ultimo tipo è possibile, almeno in teoria, registrare senza alcun segno visibile.
In caso di dubbio, una copertura per webcam o un minuscolo pezzo di nastro isolante ti fornirà uno schermo Web che il malware non può disattivare!
RANSOMWARE
Questo è probabilmente il tipo di malware più temuto dell’ultimo decennio: in generale, il ransomware cripta i tuoi file e ti offre di venderti la chiave di decrittazione con cui puoi sbloccare il tuo computer e tornare al lavoro.
In un mondo ideale, il ransomware non funzionerebbe affatto per i truffatori, perché avresti semplicemente ripulito il tuo computer (rimuovendo facilmente il ransomware allo stesso tempo), ripristinando il tuo backup più recente risolvendo il problema senza pagare nulla al disonesto.
Ma la vita raramente è così semplice, e i criminali ransomware di oggi massimizzano la loro influenza contro di te in diversi modi:
- Di solito trovano prima un modo per entrare nella tua rete, quindi possono arrivare a centinaia o addirittura migliaia di computer contemporaneamente. Anche se si dispone di backup per tutti, il re-imaging e il ripristino di migliaia di computer potrebbe richiedere più tempo del semplice pagamento.
- Cercano i backup online sulla rete e li eliminano prima dell’attacco ransomware. A meno che tu non abbia un processo affidabile di esecuzione e conservazione regolari dei backup offline, i truffatori potrebbero averti in pugno.
- Vanno alla ricerca della configurazione della tua sicurezza informatica in modo da poter disattivare quelle parti che potrebbero arrestare o limitare il ransomware. Non ignorare mai nulla nei tuoi registri che sembri anche solo vagamente un cambiamento insolito o imprevisto delle impostazioni di sicurezza della rete: potrebbero essere truffatori che ti preparano per l’attacco.
Le richieste di ransomware sono aumentate notevolmente dal 2013, quando il ransomware Cryptolocker chiedeva $ 300 per computer.
I moderni attacchi ransomware come SamSam, Bitpaymer e Ryuk in genere eliminano intere reti e richiedono da $ 50.000 a $ 5.000.000 per annullare il danno su un’intera rete infetta.
CHE FARE?
Aggiorna spesso e presto. Molti attacchi iniziano perché qualcuno, da qualche parte, ha lasciato aperta una falla di sicurezza che i truffatori sanno già come sfruttare. Anche se stai utilizzando l’aggiornamento automatico ovunque, controlla regolarmente lo stato delle tue patch – se non controlli le tue reti, i truffatori lo faranno per te!
Cerca e agisci sui segnali di avvertimento nei tuoi log. Molti attacchi di malware durano per un po’ di tempo o seguono gli attacchi precedenti o le “spedizioni di scouting” che lasciano segni rivelatori nei tuoi log. La creazione insolita di nuovi account; l’uso di strumenti di amministrazione che non ti aspetteresti; e le prove di qualcuno che armeggia con le impostazioni di sicurezza dovrebbero sempre essere investigate. Il personale autorizzato dovrebbe conoscerle meglio e può essere consultato di conseguenza; gli utenti non autorizzati devono essere identificati e tolti dal sistema prima piuttosto che successivamente.
Cerca la difesa in profondità. Cerca un antivirus con il blocco del comportamento, un filtro Web e la semplice scansione di file. La maggior parte degli attacchi malware moderni comporta una sequenza di piccoli passaggi. I truffatori devono riuscire in ogni fase per completare il loro attacco, mentre spesso puoi fermare l’attacco bloccando una delle fasi.
Già che ci sei, perché non dare un’occhiata e iscriversi ai nostri podcast settimanali su Naked Security e al nostro nuovo canale YouTube di Naked Security?
Lascia un commento