GUIDE E HOW-TO

Malware: come proteggere i dispositivi aziendali

Home Executive
Indirizzo copiato

Quali sono i segnali che indicano la probabile compromissione dei propri device e una panoramica completa sugli strumenti e le buone pratiche per contrastare la minaccia informatica più diffusa

Pubblicato il 8 gen 2025
malware-pericolo-infezione
malware-pericolo-infezione

Il malware, abbreviazione di malicious software, ovvero, in italiano, software malevolo, rappresenta una delle minacce più diffuse nel panorama della sicurezza informatica aziendale.

Le evidenze dell’ultimo Rapporto Clusit, infatti, confermano che questa è, ancora oggi, la tecnica di attacco più utilizzata per perpetrare attacchi ai danni delle aziende.

Rapporto Clusit (2024)

È, inoltre, quella cui è associata la maggior severity, con un impatto critico mediamente più rilevante sulla continuità operativa delle vittime rispetto a tutte le altre tipologie di attacchi.

Rapporto Clusit (2024)

Ma cosa sono, a conti fatti i malware? Si tratta di programmi creati con l’intento di danneggiare, compromettere oppure ottenere accesso non autorizzato a sistemi e dati. Le categorie di software malevoli sono numerose e il fatto che queste minacce siano di fatto in continua evoluzione richiede alle aziende l’adozione di approcci proattivi e multilivello alla sicurezza informatica. Approcci fondati sull’adozione di soluzioni “intelligenti”, in grado di assicurare una capacità di rilevamento in tempo reale, e sulla formazione adeguata degli utenti rispetto ai rischi che corrono.

Che cos’è il Malware?

Tipologie di malware che minacciano le aziende

Il termine malware si riferisce a qualsiasi software progettato con l’intento di rubare informazioni, ottenere l’accesso non autorizzato a dati e sistemi e causare danni – ad esempio bloccando la continuità operativa. Questi applicativi dannosi possono presentarsi in vari formati e utilizzare diversi protocolli o meccanismi di trasporto e diffusione.
Ecco un elenco (non esaustivo) delle tipologie di malware più comuni:

Adware (Advertising-supported Software)

Questa applicazione mostra pubblicità indesiderata sui sistemi infetti. Non tutti gli adware sono pericolosi. Alcuni, infatti, vengono scaricati con il consenso dell’utente, che lo presta in cambio di vantaggi come l’accesso gratuito a un’app mobile o uno sconto sull’acquisto di un software.

Ne esistono, però, anche versioni malevole in grado di raccogliere informazioni personali, rallentare il funzionamento di PC e smartphone o reindirizzare le ricerche degli utenti su siti fraudolenti. Ecco perché, sebbene sia considerato meno dannoso rispetto ad altri malware, l’adware può comunque rappresentare rischi significativi, penalizzando l’esperienza utente e aprendo potenzialmente la porta dei sistemi aziendali a infezioni più gravi.

Botnet (rete zombie)

Una botnet è una rete di dispositivi compromessi – chiamati in gergo “zombie” – controllati a distanza dagli aggressori per eseguire attacchi su larga scala come DDoS (Distributed Denial of Service) o campagne di spam. Infettando dispositivi con un malware, le botnet possono essere usate per compiere attività dannose o per “saturare” il sistema e impedire così l’accesso agli utenti.

Cryptojacking (Malicious Coinminer)

L’estrazione legale di criptovalute come i bitcoin richiede il consenso del proprietario del sistema. Tuttavia, i criminali spesso installano illegalmente software per il mining delle criptomonete – un metodo noto come cryptojacking – di fatto sottraendo indebitamente risorse di calcolo e penalizzando, così, le prestazioni dei sistemi dell’utente.

Keylogger (Keystroke Logger)

Si tratta di software malevoli progettati per registrare le sequenze di tasti utilizzate comunemente dagli utenti e consentire, così, agli aggressori di acquisire informazioni sensibili come credenziali di accesso a siti e servizi oppure numeri di carte di credito. Vengono spesso distribuiti attraverso attacchi phishing o insieme ad altri malware e sono particolarmente pericolosi negli ambienti aziendali.

Malware fileless

Questo tipo di malware non utilizza file malevoli, ma si insinua e rimane attivo nella memoria di sistema sfruttando strumenti legittimi di gestione e automazione delle attività come PowerShell, sfuggendo al rilevamento dei tradizionali software antivirus. Il malware fileless richiede metodi di rilevamento avanzati e rappresenta una sfida ardua per i professionisti della cyber security.

Ransomware (malware da riscatto)

Il ransomware cripta i dati della vittima, impedendone l’accesso fino al pagamento di un riscatto. Gli attacchi ransomware sono sempre più comuni e mirano spesso alle grandi aziende, strutture sanitarie e agenzie governative. Il ransomware si è affermato come uno degli schemi di crimine informatico più redditizi, con gruppi organizzati che lo offrono come servizio (Ransomware as a Service) ad altri criminali meno scaltri e tecnicamente preparati.

Rootkit

I rootkit sono tra i malware più pericolosi e difficili da rilevare. Consentono agli aggressori di ottenere l’accesso privilegiato e duraturo a un sistema, occultando la loro presenza. Questi gruppi di software permettono di manipolare file di sistema e processi, alterare le impostazioni di sicurezza e permettere agli aggressori di mantenere il controllo a lungo termine su un sistema compromesso.

Spyware

Questi software malevoli sono progettati per raccogliere dati sensibili dai sistemi infetti senza che l’utente se ne accorga. Questo tipo di malware può monitorare le abitudini di navigazione, registrare sequenze di tasti o acquisire credenziali d’accesso come username e password, causando danni seri alla privacy e alla sicurezza aziendale.

Trojan (Cavallo di Troia)

I trojan sono programmi malevoli che si mascherano da software legittimo per ingannare gli utenti e indurli a essere scaricati. Una volta installati, rilasciano codice dannoso creando backdoor, ovvero accessi occulti ai sistemi aziendali. Questi accessi permettono di rubare dati o, addirittura, di controllare completamente da remoto un sistema.

Virus

Un virus è un tipo di malware che si attacca a file o applicazioni legittimi con l’obiettivo di compromettere dati, interrompere operazioni di sistema o diffondersi ad altri sistemi collegati alla stessa rete. Una volta eseguito, il programma malevolo si replica e si diffonde sul dispositivo che lo ospita senza che l’utente se ne accorga. Solitamente, l’infezione avviene sfruttando le vulnerabilità (exploit) di un sistema operativo o di un’applicazione e il risultato è una compromissione delle funzionalità del dispositivo – in termini di velocità della CPU, occupazione della memoria RAM o spazio sul disco fisso.

Worm

I worm, a differenza dei virus, si auto-replicano e non necessitano dell’intervento umano per diffondersi. Questi programmi malevoli sfruttano le vulnerabilità dei sistemi per infettare più dispositivi all’interno di una stessa rete. La loro capacità di propagarsi autonomamente li rende particolarmente pericolosi, causando spesso interruzioni significative dell’operatività e perdita di dati. I worm possono paralizzare intere reti, ma il loro impiego in attacchi coordinati è raro a causa della loro natura “rumorosa” e del difficile controllo attuabile da parte degli aggressori.

Come i malware penetrano nelle reti aziendali

Un attacco malware si compone di due parti: il payload dannoso e il vettore di attacco. Il payload è, in pratica, il codice malevolo che i cybercriminali intendono installare, mentre il vettore di attacco è la strategia impiegata per trasmettere il payload al bersaglio.

Meccanismo d’infezione: i vettori di attacco

Tra i vettori di attacco più diffusi troviamo:

  • Truffe di ingegneria sociale, che attivano una manipolazione psicologica delle vittime inducendole a compiere in fretta azioni non sicure, come scaricare del software malevolo. Particolarmente frequenti sono gli attacchi di phishing, che si servono di e-mail o SMS per raggirare gli utenti.
  • Vulnerabilità del sistema, sfruttate dai malintenzionati, come falle non sanate in software e firmware di dispositivi e apparati di rete, sistemi IoT o applicazioni di produttività personale.
  • Supporti rimovibili, come unità USB o hard drive esterni, che vengono infettati e offerti come esca allettante nell’ambito di tecniche di baiting. Una volta collegate a un PC o a un server lo infettano scaricando codice malevolo.
  • Download di file e software ingannevoli. Molti malware, come trojan e adware, si camuffano da software legittimi o da copie gratuite di contenuti multimediali – spesso da programmi antivirus o app di miglioramento delle prestazioni.
  • Malvertising e download drive-by. Il primo consiste nell’inserimento di annunci malevoli all’interno di messaggi pubblicitari legittimi. Il download drive-by, invece, è l’avvio automatico dello scaricamento di software malevolo quando si visita un sito compromesso.
  • Dispositivi personali, che possono fungere da vettori primari per le infezioni da malware nei contesti aziendali, specie quando connessi a reti non sicure durante il tempo libero.
  • Attacchi alla Supply Chain, ovvero la propagazione del malware attraverso le reti delle aziende fornitrici o clienti precedentemente compromesse.

Meccanismo d’infezione: diffusione e propagazione

Le opzioni, in questo caso, sono sostanzialmente tre:

• Embedded: il malware utilizza i normali canali di comunicazione aggiungendosi o sostituendosi ai messaggi esistenti.

• Secondary Channel: il malware si propaga attraverso un canale alternativo. L’infezione avviene in due fasi: inizialmente viene scaricato e installato un programma downloader, che successivamente provvede a scaricare ed eseguire la parte rimanente del malware.

• Self-carried: il malware si trasferisce o si diffonde da solo durante il primo contatto con un host vulnerabile.

Come riconoscere un attacco malware in azienda: i 5 segnali di un’infezione in corso

Purtroppo, non sempre la scansione operata dagli antivirus in uso riesce a identificare e allertare l’utente rispetto a malware che potrebbero essersi “annidati” nel suo PC o smartphone ed è necessario prestare sempre attenzione ad alcuni segnali che potrebbero indicare un’infezione da software malevolo in corso. Ecco i principali:

  • Rallentamento anomalo delle prestazioni del device. Questo vuol dire che il malware sta lavorando in background e controlla il computer, che probabilmente è già parte di una rete di bot (botnet).
  • Reindirizzamento del browser verso siti web malevoli. Questo è un chiaro sintomo del fatto che è stato installato indebitamente sul dispositivo un rootkit, che dirotta il browser verso pagine infette.
  • Apertura di pop-up che pubblicizzano siti web malevoli. Anche in questo caso è colpa dei rootkit, che fanno comparire fastidiose finestre pubblicitarie durante la navigazione sul web, dirottando la navigazione verso siti malevoli nel caso in cui l’utente le clicchi.
  • Attivazione di processi anomali nel Task Manager. Messaggi di occupazione eccessiva della RAM anche se si stanno usando pochi programmi sono indicativi di una probabile infezione.

Una volta che un malware ha infettato un sistema vulnerabile, potrà mostrare da subito i suoi effetti oppure rimanere latente anche per molto tempo prima di causare i danni per cui è stato progettato – come controllo dell’endpoint, modifica o cifratura dei file, cancellazione o furto di dati.

Indicatori di compromissione nei sistemi aziendali

Gli indicatori di compromissione (IoC) sono segnali o manifestazioni che suggeriscono una possibile violazione della sicurezza o un’intrusione all’interno di una rete aziendale. Ecco alcuni esempi comuni di IoC da malware:

Irregolarità nel traffico di rete

Nella maggior parte delle aziende, esistono schemi prevedibili per il traffico di rete che fluisce dentro e fuori dall’ambiente digitale. Cambiamenti come un volume insolitamente alto di dati in uscita dall’azienda o attività provenienti da un’area inusuale della rete potrebbero essere un indicatore di attacco.

Accessi anomali

Le abitudini di lavoro delle persone sono solitamente piuttosto routinarie: gli individui accedono ai dati aziendali generalmente dalle stesse località e in orari simili durante la settimana. Ecco perché è possibile individuare un account compromesso monitorando gli accessi in momenti inusuali o da regioni geografiche inconsuete, come un paese dove l’azienda non ha uffici. Anche l’osservazione di una pluralità di accessi falliti attraverso lo stesso account potrebbe suggerire che qualcuno stia tentando di intrufolarsi indebitamente nella rete o in un dispositivo aziendale usando credenziali rubate.

Irregolarità nella gestione degli account privilegiati

Molti malintenzionati mirano a ottenere l’accesso agli account con privilegi da amministratore, così da controllare tutti gli altri account dell’organizzazione. Comportamenti anomali di questi account, come tentativi di elevazione dei privilegi, potrebbero indicare una violazione.

Modifiche alle configurazioni di sistema

Il malware è spesso progettato per alterare le configurazioni di sistema, disattivando i software di sicurezza o abilitando l’accesso remoto a file aziendali anche a chi non dovrebbe averne titolo. Monitorando queste richieste, i professionisti della sicurezza possono rilevare una violazione prima che si verifichi un danno rilevante.

Installazioni o aggiornamenti software non pianificati

Molti attacchi iniziano con l’installazione di software dannoso che consente accessi non autorizzati alla rete. Aggiornamenti non pianificati o download di applicazioni insolite sono evidenti segnali di una compromissione.

Richieste di accesso multiple allo stesso file

La presenza di numerose richieste per un singolo file potrebbe indicare che un utente malintenzionato stia cercando di rubarlo, utilizzando vari metodi per accedervi.

Richieste DNS (Domain Name System) insolite

Alcuni malintenzionati utilizzano una tecnica chiamata “comando e controllo” (command&control): installano sui server aziendali del malware che stabilisce una connessione con un server sotto il loro controllo. Successivamente, inviano comandi dal loro server al computer infettato per rubare dati o interrompere operazioni. Richieste DNS (Domain Name System) insolite possono aiutare l’IT a individuare questi attacchi.

Sistema di difesa multilivello contro i malware

La difesa dagli attacchi malware si realizza attraverso un approccio multilivello che integra diverse tecnologie, strumenti e servizi. I tool assolutamente indispensabili sono gli antivirus e, in particolare, i software di ultima generazione che impiegano algoritmi AI. Questi ultimi, infatti, sono quelli che più facilmente riusciranno a rilevare anche i malware zero day, ovvero quelli ancora poco noti, o le mutazioni più recenti di software malevoli già noti consentendo un rilevamento in tempo reale delle minacce avanzate che solitamente sfuggono alle tecniche tradizionali basate sull’analisi delle firme.

La prima linea di protezione della rete è, invece, rappresentata dai firewall, che filtrano il traffico in ingresso e in uscita bloccando le attività non autorizzate o sospette. Questi strumenti, integrati con tecnologie SD-WAN (Software Defined Wide Area Network), che separano la rete fisica da quella logica, permettono di proteggere il perimetro esteso dell’azienda, quello che comprende anche le sedi aziendali distribuite o le facility remote. L’impiego di questi sistemi consente di attuare strategie di micro segmentazione delle reti aziendali, isolando le porzioni di network infette così da prevenire che l’infezione da malware si diffonda in tutto l’ambiente digitale dell’azienda.

Per ottenere una protezione ancora più efficace è auspicabile integrare il firewall con un sistema di prevenzione delle intrusioni (IPS, Intrusion Prevention System) in modo da assicurarsi un monitoraggio in tempo reale del traffico.

A corredo di queste soluzioni, è auspicabile anche la dotazione di soluzioni avanzate di rilevamento e risposta come EDR (Endpoint Detection and Response), che rilevano i comportamenti anomali e isolano prontamente il dispositivo infettato, o XDR (Extended Endpoint Detection and Response), che operano allo stesso modo monitorando però non solo gli endpoint ma tutta l’infrastruttura informatica, comprese applicazioni e reti.

Soluzioni enterprise per il rilevamento malware

I primi software anti malware utilizzavano un database delle firme distintive dei software malevoli noti: quanto un tool eseguiva la scansione di un notebook o di un PC, cercava queste tracce ed eliminava o metteva in quarantena i file sospetti rilevati. A queste tecniche, i criminali informatici hanno risposto introducendo a distanza ravvicinata modifiche minime del codice, in modo da impedirne il riconoscimento.

Gli strumenti più nuovi si basano, invece, sulla ricerca di pattern, ovvero modelli di comportamento, sospetti, abbinati a sistemi di rilevamento delle firme e all’analisi delle transazioni e dei dati di traffico attraverso tecnologie di AI – in particolare Machine Learning e Deep Learning.

Una categoria di sistemi anti malware recenti è quella che si basa, invece, sulla tecnica del sandboxing. In pratica, si esegue il software in un ambiente digitale protetto e chiuso – come una macchina virtuale –, che simula l’ambiente reale, per osservarne il comportamento e valutare i danni potenzialmente cagionabili. Tra gli strumenti aziendali anti malware più diffusi, secondo l’analisi di Capterra, troviamo Avast, Avira, AVG, Bitdefender, ESET, Malwarebytes, NinjaOne, Norton, Trellix, Trend Micro e WatchGuard.

Piano di risposta agli incidenti malware

L’ultima edizione del report “Cost of Data Breach”, condotto da Ponemon Institute per conto di IBM, stima che il costo medio globale di una violazione sia salito del 10% nel 2024 rispetto all’anno precedente e che il fatto di poter contare su un team dedicato e un piano di risposta formalizzato consente alle aziende di ridurre il costo di un incidente informatico di quasi mezzo milione di dollari in media.

L’obiettivo di un Response Plan è di rilevare tempestivamente, rispondere prontamente e limitare efficacemente gli effetti di un attacco informatico.

Le fasi del piano di Incident Response

Il piano di gestione degli incidenti è un processo end-to-end e sequenziale progettato per garantire una ripartenza rapida alle organizzazioni vittime di un attacco. Se ben concepito e strutturato, contribuisce a mitigare le potenziali vulnerabilità per prevenire attacchi futuri e contenere gli effetti negativi di un attacco in corso.

Solitamente, la letteratura più diffusa negli ambiti della cybersecurity lo articola in sei fasi operative – riducibili a quattro in accordo alle linee guida del NIST, il National Institute of Standards and Technologies degli Stati Uniti.

La sua realizzazione è responsabilità del team di Incident Response o di quello ICT e include la definizione e l’esecuzione di procedure – informatiche, ma anche organizzative – utili a garantire una gestione integrata dell’incidente che tenga conto di tutte le conseguenze dirette e indirette del fatto.

  • Preparazione
    La prima fase del piano consiste in una serie di attività utili a creare le condizioni necessarie per gestire correttamente e in modo efficace gli incidenti di sicurezza, iniziando dalla prevenzione. Si parte dall’analisi dei sistemi di sicurezza adottati e dalla verifica della loro efficacia attraverso Vulnerability Test e Penetration Test, con lo scopo di identificare e mitigare le vulnerabilità critiche.
  • Identificazione e scoping
    Questa fase riguarda la verifica del fatto che quello in atto sia un vero incidente di sicurezza informatica o, invece, un falso allarme o un semplice guasto tecnico. A questo scopo, è essenziale disporre di dati e informazioni per ricostruire una timeline dell’evento. Lo scoping aiuta, invece, a comprendere le intenzioni dell’attaccante, determinando come è avvenuto l’attacco e quale comportamento abbia tenuto.
  • Contenimento
    Questa fase mira a mitigare gli effetti dannosi e far guadagnare tempo per preparare le azioni utili a eliminare la minaccia e ripristinare sistemi e dati.
  • Eradicazione
    Questa fase prevede la rimozione definitiva della minaccia dai sistemi IT infettati.
  • Recovery
    Il recupero riguarda il ripristino dei sistemi violati. Questa fase assicura che i sistemi colpiti tornino operativi, mantenendo l’integrità dei dati coinvolti e aggiornando le impostazioni di sicurezza in conseguenza a quanto emerso durante l’incidente.
  • Follow-up
    Le fasi precedenti rappresentano la vera e propria risposta operativa all’incidente. Per evitare che gli sforzi siano vani, però, occorre ragionare in ottica di miglioramento continuo, analizzando le esperienze passate, valutando l’efficacia delle procedure adottate e ipotizzando gli aggiustamenti del caso.

Formazione dei dipendenti sulla sicurezza informatica

Il progresso della tecnologia e, in particolare, l’impiego intensivo di algoritmi AI e modelli As a Service, ha aumentato il grado di sofisticazione e pericolosità dei malware. Ma un elemento rimane una costante in quasi tutti gli attacchi: la disattenzione e l’adozione di comportamenti “leggeri” da parte degli esseri umani sono fattori importanti tanto quanto l’impiego di una tecnologia allo stato dell’arte.

Non importa quanto siano avanzate le barriere tecnologiche, un solo click distratto su un link dannoso o una password debole possono, infatti, spalancare le porte a una violazione potenzialmente devastante. Questo sottolinea il ruolo fondamentale che dipendenti, collaboratori e manager ricoprono nel definire la postura complessiva di sicurezza informatica di un’azienda.

L’educazione all’attenzione, la formazione rispetto alle insidie di queste minacce avanzate e persistenti sono, dunque, aspetti chiave che devono essere gestiti in modo organico e omnicomprensivo.

Gli obiettivi della formazione sono molteplici.

  • Rafforzare la consapevolezza sulla sicurezza informatica

Educando il personale lo si prepara meglio a riconoscere e affrontare i rischi potenziali, perché la conoscenza rappresenta la prima linea di difesa.

  • Mitigare la portata delle minacce
    La formazione dei dipendenti aiuta a instillare un senso di responsabilità e a far comprendere le conseguenze delle proprie azioni, riducendo così la probabilità di violazioni.
  • Proteggere i dati e la privacy
    Comprendere la classificazione dei dati, la crittografia e l’importanza della protezione delle informazioni confidenziali è essenziale per mantenere l’integrità dei dati e garantire la continuità operativa.
  • Garantire la conformità normativa
    Molti settori sono soggetti a specifiche regolamentazioni sulla protezione dei dati. A queste si affiancano le normative più trasversali, come la NIS2, che punta a uniformare la legislazione dei diversi paesi membri dell’UE in materia di sicurezza. La formazione dei dipendenti può aiutare le aziende a garantire la compliance evitando multe, conseguenze legali e danni d’immagine.
  • Ridurre le perdite finanziarie
    Un attacco malware riuscito può comportare costi notevoli e danni alla reputazione a volte definitivi. Investire nella formazione dei dipendenti è una misura proattiva che può far risparmiare all’azienda somme considerevoli a lungo termine.

Le best practice per una prevenzione efficace

Esistono alcune buone prassi che permettono di massimizzare l’efficacia della formazione rispetto alla protezione dal malware.

Incoraggiare un apprendimento continuo e fornire risorse per aggiornarsi sulle ultime novità in materia di sicurezza informatica è d’obbligo. Occorre, poi, operare una formazione il più possibile tarata sulle specifiche esigenze dell’organizzazione, del settore e dei ruoli dei dipendenti.

Coinvolgere manager e operatori attraverso metodi di formazione interattivi e incentivare l’adozione di comportamenti virtuosi, attraverso meccanismi di reward, è sicuramente auspicabile. Altrettanto importante è eseguire regolarmente simulazioni di attacchi malware, per valutare il livello di preparazione dell’organizzazione e identificare le aree di possibile miglioramento.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Redazione Digital4

Argomenti

Canali

Articoli correlati

  • GUIDE E HOW-TO

    Rating ESG, come valutare la solidità di un investimento sulla base delle metriche di sostenibilità

    22 Mag 2024

    di Redazione Digital4

    Condividi

  • INTERVISTA

    AI Generativa, a che punto siamo in Italia?

    29 Mar 2024

    di Manuela Gianni

    Condividi

  • MARTECH

    Marketing Automation: cos’è, come funziona e come scegliere gli strumenti adatti

    05 Apr 2024

    di Redazione Digital4

    Condividi

Prossimo

Rating ESG, come valutare la solidità di un investimento sulla base delle metriche di sostenibilità

Articolo 1 di 4