Malware e ransomware
Come entrano, cosa possono fare e quali abitudini riducono il rischio: allegati, app, estensioni, backup e aggiornamenti.
Obiettivi e quadro pratico
Al termine di questo modulo, il partecipante sarà in grado di:
- 01
spiegare che cos’è un malware e perché non tutti i malware sono uguali.
- 02
riconoscere virus, worm, trojan, ransomware, spyware, adware e infostealer.
- 03
capire come malware e app malevole arrivano su computer, smartphone e reti.
- 04
valutare rischi di allegati, link, software pirata, falsi aggiornamenti e USB.
- 05
capire perché il ransomware può bloccare una persona o un’intera azienda.
- 06
applicare comportamenti di prevenzione e sapere cosa fare davanti a un sospetto.
10.1 Che cos’è un malware
Malware significa malicious software, ciòè software malevolo. È un programma creato o usato per causare danni, rubare informazioni, spiare l’utente, bloccare dati, prendere controllo di un dispositivo o svolgere attività non autorizzate.
Molte persone usano la parola “virus” per indicare qualsiasi minaccia, ma il virus è solo una categoria. Esistono trojan, ransomware, spyware, adware, keylogger, infostealer, worm, rootkit, botnet e altre forme con obiettivi diversi.
Un malware può colpire computer, smartphone, server, router, dispositivi aziendali, browser, account cloud e reti. A volte mostra effetti evidenti, come una richiesta di riscatto; altre volte resta nascosto e ruba dati in silenzio.
Il malware non è sempre rumoroso. Un dispositivo può sembrare quasi normale mentre credenziali, file o sessioni vengono copiati altrove.
10.2 Come può arrivare un malware
Un malware può arrivare tramite allegati email, link malevoli, download da siti non ufficiali, software pirata, crack, falsi aggiornamenti, app fuori dagli store ufficiali, estensioni browser dannose, chiavette USB, documenti con macro, siti compromessi, pubblicità malevole, chat e falsi strumenti di assistenza remota.
Spesso il malware sfrutta un comportamento dell’utente: aprire un allegato, cliccare un link, installare un programma, disattivare una protezione, abilitare macro, concedere permessi, inserire password amministratore o ignorare un avviso.
La prevenzione non è solo tecnica. Aggiornamenti e antivirus aiutano, ma contano anche abitudini, attenzione alle fonti e capacità di fermarsi davanti a file o richieste inattese.
Molti malware entrano perché sembrano qualcosa di utile: una fattura, un aggiornamento, un programma gratuito, un’app comoda o un documento urgente.
10.2.1 Virus
Un virus è un malware che si attacca a file o programmi e può diffondersi quando quei file vengono eseguiti o condivisi. Il termine viene spesso usato in modo generico, ma tecnicamente indica una categoria specifica.
Può modificare file, danneggiare programmi, rallentare il computer, diffondersi ad altri file o aprire la strada ad altri malware. Può arrivare tramite allegati, file scaricati, programmi infetti, chiavette USB, software pirata o documenti malevoli.
La riduzione del rischio passa da antivirus, aggiornamenti, software da fonti ufficiali, niente pirateria, attenzione agli allegati e controllo dei dispositivi USB sconosciuti.
Fattura in archivio compresso
Una “fattura” ricevuta come archivio compresso e non attesa può contenere un file eseguibile mascherato. Prima di aprire bisogna verificare mittente e contesto.
10.2.2 Worm
Un worm è un malware capace di diffondersi automaticamente, spesso attraverso reti o sistemi vulnerabili. A differenza di un virus tradizionale, può propagarsi senza che l’utente apra manualmente ogni file infetto.
Può rallentare sistemi e connessioni, sfruttare vulnerabilità non corrette, installare altri malware e creare problemi a molti dispositivi contemporaneamente. In azienda, un singolo dispositivo vulnerabile può diventare un punto di partenza per la diffusione.
Per ridurre il rischio servono aggiornamenti, firewall, reti gestite correttamente, controllo degli accessi, permessi limitati e strumenti di sicurezza aziendale.
Gli aggiornamenti non sono solo migliorie: spesso chiudono vulnerabilità che malware automatici possono sfruttare.
10.2.3 Trojan
Un trojan si presenta come qualcosa di legittimo o utile, ma nasconde una funzione malevola. Può sembrare un programma gratuito, un falso aggiornamento, un crack, un gioco, una utility, un documento, un’app mobile o uno strumento di assistenza.
Una volta installato, può rubare dati, installare altri malware, aprire accessi remoti, registrare attività, disattivare protezioni, modificare impostazioni o permettere il controllo del dispositivo.
La difesa è scaricare solo da siti ufficiali o store affidabili, evitare software pirata, non installare app da fonti sconosciute, non fidarsi di falsi aggiornamenti e non concedere permessi inutili.
Pensare che un programma sia sicuro perché “funziona”. Anche un trojan può fare ciò che promette e, insieme, fare altro di nascosto.
10.3 Ransomware
Il ransomware è uno dei malware più gravi. Blocca l’accesso ai dati o cifra i file e chiede un riscatto per tentare di recuperarli. In alcuni casi minaccia anche la pubblicazione dei dati rubati.
Per una persona può significare perdita di foto, documenti, archivi personali, dati di lavoro e file importanti. Per un’azienda può significare blocco operativo, interruzione dei servizi, perdita di dati dei clienti, danno economico, danno reputazionale, problemi normativi e giorni o settimane di fermo.
È pericoloso perché può colpire non solo il singolo computer, ma anche cartelle condivise, server, dischi collegati e backup sempre connessi.
Un ransomware può bloccare un’intera attività. Non è un problema del singolo file o del singolo computer.
10.3.1 Ransomware e backup
Il backup è una delle difese più importanti contro il ransomware, ma non tutti i backup sono uguali. Se una copia è sempre collegata al computer o alla rete, il ransomware potrebbe cifrare anche quella.
Sono a rischio i dischi esterni sempre collegati, le cartelle di rete sempre accessibili, i cloud sincronizzati senza versioning, i backup non separati dagli account principali e le copie mai testate.
Un buon backup deve essere regolare, separato, protetto e verificato. Almeno una copia dovrebbe essere offline o comunque non sempre raggiungibile dal sistema principale. Il ripristino va testato, perché un backup inutilizzabile viene scoperto spesso troppo tardi.
Un backup non testato è una speranza, non una garanzia.
10.3.2 Pagare il riscatto non garantisce il recupero
Quando un ransomware cifra i file, la richiesta di riscatto può promettere la restituzione dei dati dopo il pagamento. Pagare però non garantisce nulla: l’attaccante potrebbe non inviare la chiave, la chiave potrebbe non funzionare, il recupero potrebbe essere parziale o i dati potrebbero essere stati rubati comunque.
Il pagamento può inoltre alimentare attività criminali, attirare nuovi attacchi e avere implicazioni legali, assicurative o organizzative da valutare.
In caso di ransomware non bisogna improvvisare. La gestione deve coinvolgere referenti tecnici, responsabili, consulenti, autorità o supporto specializzato quando necessario.
Per un dipendente o utente, la priorità è segnalare subito e non trattare autonomamente con l’attaccante.
10.3.3 Spyware
Uno spyware è progettato per spiare l’utente o raccogliere informazioni. Può registrare siti visitati, dati digitati, credenziali, messaggi, file, attività sul dispositivo, posizione, schermate o contenuti visibili.
Può arrivare tramite app malevole, software da fonti non ufficiali, allegati, link fraudolenti, estensioni browser, falsi strumenti gratuiti o dispositivi compromessi. Il suo obiettivo può essere furto di credenziali, perdita di privacy, raccolta di informazioni personali o aziendali e preparazione di attacchi successivi.
Per ridurre il rischio bisogna installare app solo da fonti ufficiali, controllare permessi, evitare software sconosciuto, mantenere i dispositivi aggiornati e controllare estensioni del browser.
Se un’app o un’estensione chiede accesso a più dati di quanti servano alla sua funzione, va trattata con sospetto.
10.3.4 Adware
L’adware mostra pubblicità indesiderate o invasive. Non sempre è grave come un ransomware, ma può indicare che sul dispositivo è presente software non desiderato e può portare a siti rischiosi.
Può causare pop-up continui, reindirizzamenti, modifiche al browser, barre o estensioni indesiderate, raccolta di dati di navigazione, rallentamenti e apertura di pagine sospette.
Spesso arriva con programmi gratuiti scaricati da siti poco affidabili, installazioni con opzioni preselezionate, falsi player video, download manager o software pirata.
Se il browser cambia homepage, motore di ricerca o apre pagine da solo, non trattarlo come un fastidio normale: è un segnale da controllare.
10.3.5 Keylogger
Un keylogger registra ciò che viene digitato sulla tastiera. È pericoloso perché può catturare username, password, codici, messaggi, numeri di carta, dati personali e dati aziendali.
Può arrivare tramite allegati malevoli, trojan, software pirata, falsi aggiornamenti, computer pubblici o estensioni browser dannose. Se si sospetta un keylogger, cambiare password dallo stesso dispositivo può esporre anche la nuova password.
La difesa include evitare dispositivi non propri per accessi importanti, non installare software non verificato, usare MFA, cambiare password da dispositivi sicuri e mantenere aggiornati sistemi e browser.
Home banking su computer pubblico
Accedere all’home banking da un computer pubblico o non affidabile espone al rischio che credenziali e codici vengano registrati.
10.3.6 Rootkit
Un rootkit è progettato per nascondersi profondamente nel sistema e mantenere un accesso non autorizzato. Può cercare di occultare file malevoli, processi sospetti, attività dell’attaccante, modifiche al sistema e altri malware.
È una categoria più tecnica, ma il concetto pratico è semplice: alcune infezioni cercano di non farsi vedere e possono essere difficili da rimuovere.
In azienda, un sospetto rootkit va gestito da personale tecnico competente. Per ridurre il rischio servono aggiornamenti, privilegi amministrativi limitati, software affidabile e segnalazione rapida di comportamenti anomali.
Non tutti i problemi si risolvono disinstallando un programma. Alcuni malware richiedono interventi tecnici strutturati.
10.3.7 Botnet
Una botnet è una rete di dispositivi infetti controllati da un attaccante. Il dispositivo diventa un “bot” e può essere usato per inviare spam, attaccare altri siti, diffondere malware, generare traffico falso o nascondere l’origine di attività illegali.
L’utente potrebbe non accorgersene subito. I segnali possono essere rallentamenti, connessione molto usata senza motivo, consumo anomalo di risorse, avvisi di sicurezza o traffico sospetto.
La prevenzione riguarda anche router e dispositivi IoT: aggiornamenti, password predefinite cambiate, configurazioni corrette e attenzione ai dispositivi collegati alla rete.
Anche un dispositivo “poco importante” può diventare utile a un attaccante se resta acceso, connesso e non protetto.
10.3.8 Cryptominer
Un cryptominer malevolo usa CPU, GPU, energia e prestazioni del dispositivo per generare criptovalute a vantaggio dell’attaccante. Non punta necessariamente a rubare dati, ma usa risorse senza autorizzazione.
I segnali possono essere computer molto lento, ventole sempre attive, consumo elevato di energia, surriscaldamento, batteria che dura poco e calo evidente delle prestazioni.
Può arrivare tramite siti compromessi, estensioni browser malevole, software pirata, trojan o programmi scaricati da fonti non ufficiali. La difesa passa da aggiornamenti, controllo delle estensioni, niente pirateria e attenzione ai rallentamenti improvvisi.
Computer lento dopo navigazione o estensione
Un computer che diventa molto caldo e lento solo durante certe navigazioni o dopo una nuova estensione merita un controllo.
10.3.9 Infostealer
Un infostealer è progettato per rubare informazioni: password salvate nel browser, cookie di sessione, token di accesso, dati di carte, file sul desktop, documenti, informazioni di sistema, dati da app di messaggistica, wallet crypto e credenziali aziendali.
È pericoloso perché può esfiltrare dati rapidamente. Anche se viene rimosso dopo, le informazioni potrebbero già essere finite all’attaccante. In alcuni casi cookie e token possono permettere tentativi di accesso senza conoscere direttamente la password.
La prevenzione richiede niente software pirata, nessun file sconosciuto eseguito, sistemi aggiornati, antimalware, MFA e prudenza nel salvare dati sensibili nel browser.
Dopo un infostealer, non basta rimuovere il malware: bisogna considerare già esposte le informazioni che poteva leggere.
10.3.10 Malware mobile e app malevole
Anche gli smartphone possono essere colpiti da malware o app dannose. Il rischio dipende da sistema, impostazioni, abitudini e fonti di installazione. App fuori dagli store, app false che imitano servizi reali e permessi eccessivi sono segnali importanti.
Permessi come SMS, notifiche, microfono, fotocamera, posizione, file, accessibilità, amministrazione del dispositivo e sovrapposizione su altre app vanno valutati con attenzione. Un’app per modificare foto non dovrebbe avere bisogno di leggere SMS o notifiche bancarie.
Le buone pratiche sono installare app solo da store ufficiali, controllare sviluppatore e recensioni, evitare APK se non si è esperti, aggiornare il sistema, rimuovere app non usate e non concedere permessi incoerenti.
Se un’app chiede permessi che non c’entrano con la sua funzione, fermati prima di concederli.
10.3.11 Estensioni browser dannose
Le estensioni del browser possono essere utili, ma hanno spesso accesso a pagine visitate, contenuti visualizzati, dati inseriti nei moduli, cronologia, cookie e informazioni di navigazione. Installarne troppe o da fonti poco affidabili aumenta il rischio.
Sono sospette le estensioni con sviluppatore sconosciuto, non aggiornate, troppo invasive, che promettono funzioni poco credibili o chiedono accesso a tutti i siti senza reale necessità.
È meglio installare poche estensioni, solo da fonti ufficiali, controllare permessi, rimuovere ciò che non serve e limitare le estensioni sui browser usati per banca, gestionali e account critici.
Ogni estensione è un pezzo di software che entra nel browser. Non trattarla come un semplice pulsante decorativo.
10.4 Segnali di possibile infezione
Non sempre un malware mostra segnali evidenti, ma alcuni comportamenti meritano attenzione: computer molto lento senza motivo, pubblicità continue, browser che apre pagine strane, homepage o motore di ricerca cambiati, programmi sconosciuti, antivirus disattivato, file che cambiano estensione, ventole sempre attive, traffico anomalo, batteria che cala rapidamente, account che inviano messaggi da soli o richieste di riscatto.
Un singolo segnale non significa sempre infezione, ma va valutato. In azienda è meglio segnalare un dubbio prima che ignorarlo.
Il punto è non normalizzare comportamenti strani. Se qualcosa cambia improvvisamente dopo un download, un allegato o l’installazione di un’app, c’è un contesto da ricostruire.
Segnali dopo un allegato aperto
Dopo l’apertura di un allegato, il computer rallenta e compaiono programmi sconosciuti. Anche se funziona ancora, va segnalato.
10.5 Cosa fare se si sospetta un malware
Se si sospetta un malware, bisogna evitare improvvisazioni. In azienda ci si ferma, non si usa il dispositivo per attività sensibili, non si inseriscono altre password, non si collegano chiavette o dischi esterni, non si cancellano prove e si avvisa subito il referente IT o il responsabile.
È utile annotare cosa è successo: email aperta, file scaricato, link cliccato, orario e messaggi comparsi. Se indicato dalle procedure, il dispositivo può essere scollegato dalla rete. Le password vanno cambiate solo da un dispositivo sicuro.
Nella vita personale, bisogna smettere di usare il dispositivo per banca, email e account importanti, fare una scansione con strumenti affidabili, rimuovere programmi sospetti, cambiare password da un altro dispositivo, controllare movimenti e chiedere supporto se il problema persiste.
10.6 Cosa non fare
Davanti a un possibile malware non bisogna ignorare il problema, continuare a inserire password, aprire altri file sospetti, inoltrare il file ad altri colleghi senza avviso, collegare dischi di backup, tentare soluzioni casuali trovate online o cancellare prove importanti.
Non bisogna pagare riscatti o trattare autonomamente, soprattutto in azienda. Non bisogna nemmeno nascondere l’errore per paura: segnalare rapidamente è quasi sempre la scelta più utile.
Alcune azioni impulsive possono peggiorare la situazione. Collegare un disco di backup, per esempio, può esporre anche la copia dei dati; cancellare email o file può rendere più difficile capire cosa è successo.
Pensare che segnalare un errore sia peggio dell’errore. Nella sicurezza, il ritardo spesso fa più danni del clic iniziale.
10.7 Buone pratiche di prevenzione
La prevenzione contro i malware si basa su più livelli: aggiornamenti, antivirus o antimalware affidabili, software solo da fonti ufficiali, niente pirateria, attenzione ad allegati e link, backup separati e testati, permessi limitati, controllo delle app e formazione.
Gli aggiornamenti correggono spesso vulnerabilità sfruttabili. L’antivirus aiuta, ma non è una garanzia assoluta. I backup proteggono dai casi peggiori solo se non sono sempre collegati e se il ripristino è stato testato.
Fattura urgente in file zip
Un ufficio amministrativo riceve una “fattura urgente” in un archivio zip inatteso. Il comportamento corretto è non aprire subito, verificare il fornitore tramite recapiti già noti e segnalare se il messaggio è sospetto.
“Ho l’antivirus, quindi posso aprire tutto” è un errore. La sicurezza nasce dalla combinazione di strumenti, aggiornamenti, prudenza, backup e procedure.
Checklist dispositivi
Scrivi una checklist di otto azioni per ridurre il rischio sui tuoi dispositivi: aggiornamenti, antimalware, backup, fonti ufficiali, allegati, niente pirateria, estensioni e permessi app.
Il malware è software malevolo progettato per danneggiare, spiare, rubare dati, bloccare file o prendere controllo di dispositivi e sistemi. Può arrivare tramite allegati, link, software pirata, falsi aggiornamenti, app non ufficiali, estensioni, USB e sistemi non aggiornati. La regola da portare con sé è concreta: non installare, aprire o scaricare ciò che non è atteso o verificato; mantieni i dispositivi aggiornati e proteggi sempre i dati con backup affidabili.