Nel novembre 1988, il worm Morris ha scagliato il primo attacco informatico basato su un malware mai riconosciuto e documentato, infettando il 5% circa di tutti i computer connessi a Internet, che ai tempi era ancora una tecnologia emergente. Il malware, sviluppato dallo studente universitario Robert Morris in qualità di programma positivo, per misurare l’estensione di Internet, ha infettato le macchine bersaglio diverse volte, causandone il rallentamento e quindi il crash. L’Accountability Office del governo degli Stati Uniti ha stimato che i danni del worm fossero tra i 100.000 e i 10 milioni di dollari, dato che la disinfezione richiedeva due giorni per computer, oltre al periodo di down causato dall’infezione. Tutto questo ha portato alla prima condanna in linea con il Computer Fraud and Abuse Act del 1986, e alla creazione del primo Cyber Emergency Response Team (CERT). Dunque, dopo questo primo attacco su larga scala, a che punto siamo adesso?
Ventotto anni dopo i malware sono passati da incidente isolato a epidemia. L’ultimo Security Report di Check Point, che analizza gli incidenti di sicurezza di decine di migliaia di organizzazioni a livello mondiale, ha svelato che l’89% delle organizzazioni aveva scaricato un file malevolo, diversamente dal 63% dell’anno precedente. Si tratta di un aumento molto forte, se paragonato al tasso di infezione del 5% del worm Morris. Come se ciò non bastasse, circa 12 milioni di nuove varianti vengono scoperte ogni mese, il che significa che negli ultimi due anni sono stati scoperti più malware che in tutti i ventotto precedenti. I malware moderni hanno forme molto diverse: vanno infatti dai ransomware, che negli ultimi tre anni sono sempre in prima pagina, alle advanced persistent threat, che colpiscono le infrastrutture critiche, alle bot, che stanno pacificamente sulle reti e vengono sfruttate per veicolare spam, per prendere parte ad attacchi DDoS, esfiltrare dati oppure scaricare altri malware sulle reti delle organizzazioni.
Ciò che non conosci può nuocerti
Tuttavia, l’elemento più insidioso dell’evoluzione dei malware è costituito soprattutto dall’aumento delle varianti sconosciute di malware. Potrebbe trattarsi di versioni leggermente aggiornate oppure modificate di malware già esistenti, abbastanza diverse dai propri “genitori” da riuscire a superare gli antivirus più comuni, basati sulla firma. Potrebbero anche essere varianti completamente nuove, mai viste in circolazione, create per colpire vulnerabilità zero-day non ancora note nei software o nei dispositivi – anche se si tratta di un procedimento costoso e molto laborioso, in genere associato ad attività di hacking sostenute a livello di Stati. I malware sconosciuti sono un’alternativa particolarmente allettante per i cybercriminali. Consentono loro infatti di infettare molti più PC e network con uno sforzo extra davvero minimo. In poche parole, rendono più efficiente l’operatività dei cybercriminali. Come se non bastasse, creare un malware sconosciuto è più facile e conveniente che mai. Modificare leggermente un codice malevolo, quel tanto che basta per scavalcare gli antivirus più diffusi, è fattibile anche solo utilizzando strumenti diffusissimi, e richiede pochi minuti, senza fare lo sforzo di costruire un’infezione nuova da zero. Questa facilità estrema nello sviluppo ha generato un’esplosione di malware sconosciuti, con molte preoccupazioni riguardo la cybersicurezza per le aziende. In media, ogni 4 secondi un malware sconosciuto viene scaricato su una rete aziendale, rispetto ai meno di due al minuto nei 12 mesi precedenti, con un aumento della frequenza di 9 volte. Per fare un paragone, ogni 81 secondi viene scaricato su una rete aziendale un malware conosciuto. Il fatto che vengano scaricate 20 varianti sconosciute per ogni singola variante conosciuta, dimostra quanto sia reale il rischio di contrarre un’infezione dovuta a un malware sconosciuto in azienda.
Una protezione a strati
Per difendersi da queste continue ondate di attacchi conosciuti e sconosciuti, le organizzazioni devono andare oltre il confine della difesa tradizionale degli strumenti di antivirus. Nessuna tecnologia o tecnica, da sola, può lontanamente sperare di offrire una protezione completa contro tutte le minacce, solo una strategia a più fasi, con molteplici metodi di protezione e rilevamento può ridurre al minimo le possibilità di attacco.
Combinare e organizzare tecnologie proattive tra cui gli antivirus, i sistemi anti-bot e anti-spam e la sicurezza per le email, il controllo delle applicazioni, la consapevolezza e i firewall di ultima generazione, sono alla base di una difesa forte.
