Quando si parla di malware, ci si trova di fronte a un campionario estremamente variegato di software malevoli con caratteristiche molto diverse tra loro. Per garantire la sicurezza dei sistemi aziendali è indispensabile conoscerne le caratteristiche tecniche, i vettori di attacco che usano e le possibili ripercussioni che possono avere sull’integrità dei dati e dei servizi aziendali.
Spionaggio e sistemi di accesso remoto
Sono generalmente chiamati trojan horse o RAT (Remote Access Tool) e rappresentano lo strumento principale utilizzato dai pirati informatici specializzati nel settore dello spionaggio industriale. Anche se è impossibile farne una categorizzazione assoluta, hanno in comune alcune caratteristiche che li rendono particolarmente insidiosi. La principale è la possibilità di agire come backdoor, di consentire cioè ai cyber criminali il controllo in remoto del computer infetto e di accedere a tutti i dati contenuti al suo interno. Spesso i RAT sono strutturati in maniera modulare: la loro architettura consente cioè ai pirati informatici di aggiungere nuove funzionalità con un semplice aggiornamento attraverso i server Command and Control, tramite i quali ne gestiscono l’attività. Questo tipo di malware, inoltre, utilizza tecniche di offuscamento estremamente raffinate, come la crittografia dei dati in ingresso e in uscita, per nascondere la loro presenza ai programmi antivirus e ai software di protezione. Un attacco di questo genere punta generalmente al furto di dati sensibili, per esempio a brevetti e progetti, o viene utilizzato come “testa di ponte” per azioni di più ampio respiro.
Quando il malware punta all’estorsione
La categoria dei crypto-ransomware, venuta alla ribalta negli ultimi anni, ha caratteristiche completamente diverse. Se gli attacchi che sfruttano Remote Access Tool sono portati in modalità “silenziosa”, gli attacchi ransomware (che possono essere una conseguenza di un’infiltrazione attraverso un trojan) sono decisamente più visibili. L’obiettivo dei ransomware è quello di “prendere in ostaggio” documenti e file applicando loro una codifica crittografica la cui chiave è in possesso dei pirati. La vittima, in pratica, si trova nella scomoda situazione di essere fisicamente in possesso di tutti i suoi dati, ma di non poterli utilizzare in alcun modo. Lo scopo dei cyber criminali specializzati in questo tipo di attacchi è quello di estorcere un riscatto per fornire la chiave crittografica. Il danno per l’azienda, in questo caso, è duplice: oltre alla potenziale perdita di denaro legata al pagamento del “riscatto” (opzione assolutamente sconsigliata) l’attacco si ripercuote anche sulla business continuity. Nella maggior parte dei casi, infatti, un attacco ransomware ha come conseguenza il blocco di buona parte dei servizi e delle attività dell’azienda.
Il pericolo worm
Estremamente più rari, ma decisamente pericolosi, i worm sono malware che si distinguono per la loro modalità di diffusione. Se normalmente l’attivazione del codice malevolo richiede una qualche forma di interazione da parte della vittima, come l’apertura di un file infetto o un clic su un collegamento Internet, i worm si caratterizzano per la loro capacità di diffondersi in maniera autonoma, sfruttando vulnerabilità di software e sistemi operativi che gli consentono di compromettere i computer attraverso una sorta di “effetto domino” che può avere conseguenze devastanti, soprattutto in azienda. I bug sfruttati dai worm sono frequentemente efficaci soltanto all’interno delle reti locali e, di conseguenza, la loro pericolosità aumenta quando riescono a fare breccia in un network “chiuso” come quello di un’impresa in cui ci sono numerosi PC collegati alla stessa rete e che condividono tra loro servizi e risorse. Solitamente, i worm vengono utilizzati come vettore di attacco per installare componenti specifici, come i ransomware. Data la loro tecnica di diffusione, però, il loro impatto è decisamente difficile da arginare.
Gli attacchi online delle botnet
Le reti di computer o dispositivi infettati da un malware, chiamate in gergo botnet, rappresentano per le aziende una costante minaccia. Si tratta di veri e propri “eserciti” sotto il controllo dei pirati informatici che, negli ultimi tempi, sono composti anche dai dispositivi “smart” della cosiddetta Internet of Things (IoT) e, in alcuni casi, dagli smartphone. L’attacco più comune portato attraverso le botnet ai danni delle aziende è il DDoS (Distributed Denial of Service), che utilizza i bot per saturare la capacità di calcolo di un server per metterlo fuori uso. Questo tipo di attacco, spesso eseguito su commissione, può bloccare per ore i servizi IT dell’azienda, rendere irraggiungibile il sito Web istituzionale e disturbare (se non compromettere completamente) la normale attività degli strumenti digitali, con il conseguente danno dovuto all’interruzione della produzione.