Le differenze fondamentali tra virus, ransomware e trojan

1. Il Malware
2. Tipologie di malware
3. Virus informatico: natura e caratteristiche
4. Ransomware: anatomia di uno dei malware più pericolosi
5. Trojan Horse
6. Conclusioni

Malware

Derivante dalla crasi dei termini inglesi malicious e software, come dice la parola stessa, il malware non è altro che un software implementato esclusivamente allo scopo di estorcere dati, denaro o informazioni sensibili di qualsiasi tipo.

In altri termini, il malware è un software appositamente progettato per arrecare un danno a individui, gruppi o società.

Cenni storici

Il fatto che nella terminologia comune abbia prevalso il termine virus informatico non è legato a ben precise radici storiche.

E’ infatti noto che computer e virus siano nati quasi in contemporanea.
Già nel 1949, John Von Neumann, considerato il padre dell’informatica moderna, parlava di self-replicating automata.
Questi, nell’immaginario di Neumann erano programmi in grado di replicarsi autonomamente.
All’epoca era solo un’ipotesi – seppur molto fondata – ma la storia gli darà ragione.

Basterà attendere gli anni ’70 per assistere alla nascita del primo virus.
Creeper inizierà a colonizzare Arpanet – l’antenata di internet –  in virtù delle sue capacità autoreplicanti, ma in modo del tutto innocuo. La sua invenzione, infatti, fu dettata essenzialmente dalla necessità di dimostrare che quei self-replicaing automata ipotizzati da Neumann potessero effettivamente esistere. Saranno poi gli sviluppi avvenuti tra anni ’80 e ’90 ad apportare un cambio di paradigma nella natura stessa del virus informatico.

Da semplici programmi in grado di auto-replicarsi, ma privi di qualsiasi seria complicazione per i device, si assisterà alla nascita di vere e proprie “armi da guerra” in grado di mandare fuori uso il dispositivo infetto.

L’evoluzione dei malware

In linea generale, il malware si è evoluto seguendo la linea della sempre più sofisticata specializzazione.
A tal proposito, infatti, si potrebbe creare una linea di demarcazione netta tra malware tradizionali e avanzati. Questi si differenziano secondo quattro macro-caratteristiche che vedono il malware tradizionale:

• attuare attacchi generalizzati
• avere una scarsa innovatività, quindi essere già conosciuti da utenti e addetti alla sicurezza
• agire apertamente, con manifestazioni clamorose come intere schermate ad annunciarne la presenza
• agire secondo una modalità di attacco singola

Mentre, per ciò che concerne i malware più avanzati, si può evidenziare:

• un’azione targettizzata
• una costante sofisticazione tale da sferrare continuamente attacchi 0-day, ossia sconosciuti
• una presenza silente nel device tanto che, spesso, è totalmente ignorata dall’utente
• la persistenza nel dispositivo attaccato, spesso dovuta alle dinamiche soprelencate.

Tipologie di malware

Date queste premesse storiche e appurata la necessità di disambiguazione della nomenclatura legata agli attacchi informatici, veniamo ora a elencarne brevemente le principali tipologie.

• Virus informatico
• Trojan (o Trojan Horse)
• Worm
• Keylogger
• Dialer
• Exploit
• Spyware
• Adware
• Rootkit
• Rogue AntiSpyware
• Ransomware

Passiamo ora all’analisi dettagliata delle tre categorie specificate in apertura, ovvero: virus, ransomware e trojan.

Virus informatico: natura e caratteristiche

La denominazione per questa particolare tipologia di malware è scaturita dall’analogia di comportamento con il suo omonimo biologico.
Il virus informatico è un software che, come avviene in natura, è in grado di:

• associarsi ai file del device infettato
• auto-replicarsi continuamente

L’unica limitazione è dovuta alla necessità che il file o il programma entrino in esecuzione.

La loro azione si esplica danneggiando il file ospite: non è insolito infatti che oltre alla loro compromissione, vi sia una vera e propria manomissione dell’intero sistema. Inoltre, la loro capacità di replicazione è tale da riuscire a diffondersi a velocità esponenziali. Una volta infettato un programma, basterà che questo passi su un altro device per propagare l’infezione.

In linea generale i virus informatici agiscono secondo due modalità:

• attiva, quando esplicano la loro azione dannosa mediante payload distruttivi, ossia componenti appositamente introdotti al loro interno per compromettere un sistema
• passiva, replicandosi e passando da un device all’altro.

Ransomware: anatomia di uno dei malware più pericolosi

Il Ransomware (o Ransom malware) è una tipologia di attacco malware che, una volta penetrato nel device, ne blocca l’accesso al sistema o a specifici programmi, chiedendo il pagamento di un riscatto per ripristinare il corretto funzionamento, spesso nemmeno garantito.

La modalità d’azione prevede la criptazione dei dati: è proprio attraverso questa tecnica che il ransomware è in grado di impedire all’utente di accedere ai propri device.

A tal proposito, sono state messe a punto delle chiavi di decifrazione nel tentativo di fornire all’utente un mezzo attraverso il quale recuperare i dati senza pagare il riscatto. Spesso, però, la loro applicazione è quanto mai difficoltosa.

Modalità d’infezione di un ransomware

Le modalità attraverso cui un ransomware può infettare un computer sono molteplici.
Tra le più comuni vi sono:

• E-mail fraudolentemeglio note come malspam (o malicious spam, spesso abbreviato con il solo termine spam). Queste contengono allegati sotto forma di file eseguibili, immagini o link a siti web dannosi. Queste, una volta aperti, porteranno alla diffusione del malware sul device.

• Ingegneria socialeL’utente viene solitamente spinto al click perché nulla nel contenuto e nel design dello spam è lasciato al caso. Attraverso tecniche di ingegneria sociale, infatti, si maschera l’intento fraudolento presentando i contenuti come perfettamente legittimi e accattivanti.

• Malvertising (o malicious advertising)Questo escamotage consiste nell’inserire annunci pubblicitari apparentemente innocui anche su siti considerati notoriamente affidabili.
  L’ascesa di tale tecnica è dovuta alla possibilità di nascondere queste booby trap (trappole esplosive) in contenuti che necessitano di un’interazione anche minima dell’utente per poter essere attivati. Si tratta di attacchi definiti drive-by-download, poiché è possibile eseguirli con la semplice visita a una pagina, solitamente una landing page  a cui si viene reindirizzati.
  Infatti, infettando l’iframe  – un elemento solitamente invisibile in una pagina – il ransomware  farà in modo che l’utente sia reindirizzato verso la landing page. Da qui, poi, verrà poi automaticamente scaricato un exploit-kit che darà il via all’infezione.

Trojan Horse

Come si evince dal nome, che fa riferimento all’episodio omerico del Cavallo di Troia, il Trojan Horse è una tipologia di malware che agisce essenzialmente in maniera surrettizia,  nascondendosi dentro programmi e applicazioni apparentemente legittimi.

Come il ransomware, può essere scaricato con un allegato email fraudolento o scaricando un programma gratuito, ma si differenzia da quest’ultimo per le modalità d’azione.

Al contrario del ransomware, che si palesa con messaggi di riscatto, il Trojan agisce  in modo silente, permettendo all’utente di continuare s utilizzare. Gli scopi di tale modus operandi possono essere i più svariati:

• rendere il device infettato il proxy di una Botnet
• Monitorare le azioni che l’utente compie sul device. Così facendo sarà in grado di:
  • leggere le chat
  • geolocalizzare il dispositivo
  • accedere alla cronologia di navigazione in internet
  • attivare videocamera e microfono per effettuare registrazioni ambientali

Insomma: si tratta di un vero e proprio strumento per prendere il pieno controllo di un device da remoto. L’unico neo, è che questo controllo non è mai stato autorizzato.

Come un Trojan si maschera da file innocuo

Gli espedienti utilizzati in questo caso per camuffarsi sotto mentite spoglie sono molto più sottili rispetto alla norma.

Comunemente, infatti, il loro formato è quello di un file eseguibile con estensione :

• .exe
• .vbs
• .bat

Per renderlo più “appetibile” al download da parte di un utente, lo si maschera sottoforma di file .pdf  o .txt, cosicché, trattandosi di qualcosa di più comune e conosciuto, risulti meno sospetto,

Il trucco è semplice: dato che Winfows non è in grado di mostrare di default tutte le estensioni di un file, questo viene rinominato anteponendo l’estensione “subdola” a quella vera e propria.

Un esempio concreto può essere quello di rinominare un file contenente un trojan da Documento.exe a Documento.pdf.exe. Così facendo Windows lo mostrerà come un innocuo file pdf.

Conclusioni

Nel corso della trattazione, abbiamo constatato come virus, ransomware e trojan, pur essendo tutte espressioni di un attacco informatico, si differenzino l’un l’altro per le differenti modi di agire.

Se il virus è autoreplicante, ma dipendente dall’esecuzione del programma infettato, trojan  e ransomware sfruttano dei mezzi attraverso i quali raggiungere il maggior numero di device possibile.

D’altro canto, anche tra questi ultimi due, persiste una sostanziale differenza nell’esplicitare o meno l’avvenuto attacco. Se da un lato, infatti, il trojan agisce nascondendosi nel device per rubarne dati sensibili e password, dall’altro, il rassommare si palesa in maniera anche piuttosto eclatante, bloccando l’accesso al dispositivo ed esigendo un riscatto per ripristinarlo.

In fin dei conti, però, sono tutti accomunati dalla loro natura di malware, quindi appositamente implementati con intenti, e per scopi,  malevoli.