I rogueware software, spesso chiamati soltanto rogueware, sono noti almeno dal 2008 e stanno conoscendo una seconda giovinezza perché risultano efficaci nell’ingannare gli utenti. Vengono usati come chiavistelli per aprire porte che altrimenti sarebbe complesso scardinare, soprattutto in ambito aziendale, laddove ci si attende che i sistemi di cyber difesa siano più massicci e resilienti.
Una famiglia di programmi ascrivibile alla categoria degli scareware, ossia malware ideati per creare una finta situazione di emergenza spingendo così gli utenti a mettere mano al portafogli o, come avviene sempre più spesso, a installare altri software malevoli.
LinkedIn, anche in Italia arriva la verifica dell’identità: sicurezza e trasparenza in prima linea
Indice degli argomenti
I rogueware visti da vicino
Si presentano come software rinomato, tipicamente antivirus di produttori noti e, in realtà, sono tutt’altro. Una volta installati su un dispositivo, rivelano la presenza di virus o di problemi di sicurezza artificiosi con lo scopo di spingere l’utente ad acquistare una versione completamente funzionante del medesimo software o, peggio ancora, per iniettare ulteriore codice malevolo.
Per capire meglio come funzionano e per riuscire a riconoscerli abbiamo chiesto il supporto dell’azienda italiana di cyber security Swascan che ha fornito la voce di diversi esperti.
Come agiscono i rogueware
Al pari di molte altre minacce, con il passare del tempo i rogueware sono diventati sempre più sofisticati, arrivando nel caso specifico a imitare perfettamente le interfacce dei software di sicurezza che emulano, creando report di scansione dei sistemi operativi impeccabili e del tutto simili a quelli che avrebbe prodotto il software originale.
Gli utenti possono essere quindi facilmente tratti in inganno da un’inserzione pubblicitaria fraudolenta e installare il software sui rispettivi dispositivi. I rogueware provvedono così a generare falsi avvisi di sicurezza secondo i quali il computer è infetto o è potenzialmente esposto a rischi di sicurezza. Non di rado, i rogueware impediscono la navigazione sul web e l’uso di altre risorse, lasciando all’utente l’unica via d’uscita possibile, ossia acquistare la versione completa del software per sbloccare il computer.
Quando i rogueware entrano nei perimetri aziendali, le conseguenze possono essere ben più gravi, con perdite di dati che possono limitare l’operatività e che possono tramutarsi in un danno alla reputazione.
Le difficoltà di intercettazione
La soluzione al problema dei rogueware si manifesta capendo come è possibile che i sistemi di difesa aziendali non intercettino i rogueware e ne consentono persino l’istallazione da parte degli utenti.
Per Riccardo Paglia, Head of Sales, IT e Coo di Swascan, “Nel contesto dell’escalation dei software malevoli, l’efficacia dei sistemi di difesa aziendali nel rilevare i rogueware è messa costantemente alla prova”, spiega Paglia. “Nel dettaglio, questi software, abili nel camuffarsi da programmi legittimi, sfuggono spesso ai controlli, sfruttando la fiducia degli utenti e le lacune nei sistemi di sicurezza. La loro natura mutabile e le tecniche sofisticate di offuscamento rendono ancor più arduo il loro rilevamento, specialmente quando si tratta di vulnerabilità zero-day ancora non identificate o patchate”.
Quindi, non è del tutto impossibile che un buon sistema di difesa possa essere aggirato. Lo conferma anche Fabrizio Rendina, Head of SocaaS di Swascan: “Sarebbe bello se esistesse un sistema di difesa che fosse la panacea per ogni tipo di minaccia informatica! Tale sistema però, ad oggi, è pura utopia. Molti malware, purtroppo, non hanno una firma nota e non sono quindi identificabili dai normali sistemi antivirus. Esistono sistemi di protezione basati su comportamenti euristici che riescono ad intercettare la minaccia solo nel momento in cui questa si manifesta. Alcuni rogueware, però, eseguono azioni che potrebbero non avere connotati definibili come malevoli e pertanto riuscire ad eludere qualsiasi sistema di sicurezza”.
I rischi sono in continua mutazione e i rogueware non sono da meno, come sottolinea Sandra Marsico, CSM di Swascan: “I rogueware, come tutti i malware, vengono progettati con l’intento di eludere i sistemi di sicurezza tradizionali. Parliamo ad esempio dell’utilizzo di tecniche di mascheramento, come può esserlo la modifica di firme digitali o l’uso di tecniche di polimorfismo, dove il malware cambia il suo codice ogni volta che viene eseguito o ancora, gli autori spesso cifrano o offuscano il codice del loro software per renderne più difficile l’analisi e la rilevazione da parte di analisti di sicurezza e strumenti automatici. Non dimentichiamoci inoltre che aggiornano costantemente i rogueware per sfruttare le vulnerabilità non ancora note (zero-day)”.
Tutto ciò espone a rischi maggiori, come evidenzia Giuseppe Dongu, Head of Cyber security di Swascan: “I rogueware sono ideati per ingannare gli umani per lo più attraverso campagne di social engineering che, spesso, sfruttano siti legittimi o sistemi di distribuzione dell’advertising. Questa tipologia di malware colpisce per lo più utenti che non hanno a disposizione difese avanzate: un’indicazione di questo è, per esempio, tra i rogueware più diffusi ci sono i falsi antivirus, che con la promessa di fare una scansione gratis o a basso costo, installano in realtà un malware, o fungono da ponte per installarne degli altri”.
Il quadro è abbastanza completo e ha un minimo comune denominatore, ovvero la scarsa cultura degli utenti – privati o aziendali che siano – ancora per lo più lontani da una solida consapevolezza dei rischi.
I rimedi
Al di là della necessità di aggiornare costantemente i sistemi e di avere solide politiche di backup dei dati , molti incidenti di sicurezza capitano perché gli utenti non hanno una solida cultura in materia di cyber security e ciò lenisce il potenziale degli strumenti di difesa.
Il fatto che la cultura degli utenti sia fondamentale lo conferma anche il fatto che molte minacce riescono ad aggirare le limitazioni che un amministratore può imporre agli utenti, impedendo loro di installare software in modo autonomo.
Un tema evidenziato dagli specialisti di Swascan. Riccardo Paglia ricorda che: “Riguardo alla prevenzione dell’installazione dei rogueware, la limitazione dei diritti amministrativi agli utenti rappresenta una misura di sicurezza fondamentale, ma non esauriente. I cyber criminali, infatti, sono in grado di aggirare tali restrizioni, sia attraverso tecniche di escalation dei privilegi sia tramite l’ingegneria sociale. Questo sottolinea la necessità di un approccio multilivello e strutturato alla sicurezza: formazione degli utenti, aggiornamenti costanti e servizi di monitoraggio (SOC) sono tutti elementi cruciali per un’efficace difesa contro questi sofisticati attacchi informatici”.
Gli fa eco Fabrizio Rendina, per il quale la formazione dei dipendenti è sempre centrale: “Alcuni programmi potrebbero essere installati e/o eseguiti anche con i privilegi standard dell’utente (non amministrativi) e nonostante questo riuscire, ad esempio, ad esfiltrare dati (documenti, immagini, credenziali, …). Come proteggersi allora? In primis con la formazione: preparare i dipendenti ad affrontare questo tipo di minaccia, ad essere sospettosi sempre e comunque verso qualsiasi file scaricato dalla rete, facendo sempre prima attenzione che la fonte dal quale si sta prelevando il file sia una fonte affidabile e sicura ed evitando si scaricare da fonti ‘poco chiare’. Fare attenzione, inoltre, agli allegati ricevuti via mail o via messaggistica istantanea, che potrebbero nascondere appunto un malware al loro interno. Anche lato tecnologico, infine, è possibile prevedere l’adozione di una soluzione in grado di intercettare (e impedire) il download di file notoriamente malevoli, purché tale soluzione sia costantemente aggiornata con l’ultimo database di firme di minacce conosciute”.
Dello stesso avviso Sandra Marsico: “Alcuni rogueware possono eseguire operazioni dannose anche senza diritti amministrativi, sfruttando vulnerabilità nel software installato o nelle configurazioni di sistema. Come dicevamo prima, gli attaccanti sono alla costante ricerca di vulnerabilità non ancora note da sfruttare. La limitazione dei diritti potrebbe anche essere elusa tramite tecniche sofisticate come l’elevazione di privilegi, se in presenza di vulnerabilità sfruttabili, per guadagnare accessi amministrativi anche da un account utente limitato. È quindi cruciale adottare un approccio di sicurezza a strati che includa formazione degli utenti, aggiornamenti regolari del software, backup dei dati, e l’uso di soluzioni di sicurezza avanzate (anche ridondanti tra loro) per proteggere efficacemente contro i rogueware e non solo. Non da ultimo, un monitoraggio costante delle varie soluzioni, in grado di intercettare in modo tempestivo minacce che dovessero eventualmente aver eluso i vari controlli”.
La considerazione finale la lasciamo a Giuseppe Dongu: “È certamente la prima linea di difesa: gli account amministrativi non vanno mai utilizzati per le attività routinarie e le normali attività di un utente standard, quali ad esempio il web browsing o la lettura delle email. Ad ogni modo un utente potrebbe comunque installare tutto il software che non dovesse richiedere diritti amministrativi e che poi potrebbe, in un modo o nell’altro, trarre in inganno anche gli eventuali amministratori. Avere allora un buon software antivirus installato e rispettare, in generale, tutte le pratiche di cyber hygiene, e non solo quella citata, è quanto necessario fare per cercare di ridurre il rischio”.