Il CERT italiano analizza ogni settimana i malware diffusi in Italia: ecco qui le minacce ruba dati più diffuse negli ultimi mesi.

Il GDPR, all'art 32, è chiarissimo sul punto:

"2. Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati."

Non è un caso che spesso si richieda, per il DPO, anche conoscenze informatiche: i malware sono infatti una delle maggiori minacce all'integrità e riservatezza dei dati che aziende ed enti pubblici conservano nelle proprie infrastrutture informatiche. Da questo punto di vista è quindi molto utile anche essere a conoscenza di quali siano i principali malware diffusi nel nostro paese nei tempi recenti.

CERT-AGiD: Sintesi riepilogativa delle campagne malevole nella settimana

Il Computer Emergency Response Team dell'Agenzia per l'Italia Digitale analizza settimanalmente le principali campagne di attacco in corso nel cyber spazio italiano e ne produce un report tramite il quale informare aziende ed enti pubblici, così che possano prendere adeguate contromisure. Nel report viene fornito anche un dettagliato elenco delle famiglie malware in diffusione: queste variano nel tempo, ma ci sono alcune "incrollabili certezze" che si ripropongono in diffusione ogni settimana con poche variazioni.

Le tipologie di malware in diffusione in Italia
Prima di fornire una descrizione basilare dei malware, può essere utile suddividerli intanto per funzionalità. A grandi linee i malware più diffusi negli ultimi mesi sono:

• malware per l'accesso remoto:
  questa tipologia di malware non necessariamente ruba dati. E' un tipo di malware che invece viene diffuso per garantire agli attaccanti un accesso remoto abusivo ai sistemi infetti. Rientrano in queste tipologie di malware le cosiddette backdoor e i RAT, Remote access trojan. Una volta che viene aperto questo canale abusivo, del quale raramente la vittima si accorge, gli attaccanti possono usarlo in qualsiasi momento per perpeptrare azioni dannose. Molto spesso queste categorie di malware fungono da apripista ad altri malware e, non a caso, ne esiste un fiorente mercato nel dark web.

Per approfondire > Nel darkweb è boom di vendite di accessi abusivi alle reti hackerate

• malware infostealer:
  questi sono i malware per il furto dati in senso stretto. Rubano le password salvate nei browser, le informazioni sul dispositivo infetto e, in alcuni casi, anche tutte le singole battiture dell'utente sulla tastiera (funzionalità di keylogging). Sono malware che mirano principalmente al furto delle credenziali di accesso dell'home banking, degli account email, degli account social, dei wallet di criptovaluta. Sono ghiotti anche i dati personali sia per rivenderli nel dark web sia per perpretare furti di identità e truffe.

Molto pressante si è fatto in Italia anche il problema degli attacchi ransomware, che non tratteremo qui per motivi di brevità e perchè ormai questa tipologia di attacco non si basa più su massive campagne di email di spam, ma si è fatta sempre più mirata intorno a singole vittime bersaglio.

Malware diffusi in Italia: elenco e qualche info tecnica
Dai report pubblicati dal CERT nelle ultime settimane si evince che i principali malware diffusi nel nostro cyber spazio, anche tramite un circuito che dovrebbe essere sicuro come quello PEC, sono AgentTesla, Dridex, QakBot, sLoad.

Dridex in breve:
è un trojan bancario per Windows che ha riscosso moltissimo successo perché è un BaaS (botnet-as-a-service), un vero e proprio servizio in cui gli operatori della botnet vendono le sue capacità e le sue funzioni a diversi cyber-criminali, dando vita così a svariate sotto-botnet. Il Global Threat Index 2020 di Check Point lo piazza al primo posto dei malware più diffusi in Italia. E' pensato per il furto dati e delle credenziali, sopratutto bancarie. Dallo scorso anno è associato ad alcuni ransomware.

AgenTesla in breve:
in diffusione da oltre 6 anni, è un Remote Access Trojan (RAT). Agli albori era soltanto un malware per il furto dati con funzioni di keylogging e data stealer. Ha però subito molte modifiche nel periodo pandemico, ricevendo molte nuove funzionalità adattate alla nuova e crescente platea di lavoratori in smart working e telelavoro da remoto. La funzionalità di furto dati resta: ruba credenziali VPN, FTP, dai browser e dei clienti di posta elettronica. Ha anche un modulo per il furto delle credenziali della rete wireless.

QakBot in breve:
Specializzato in sistemi aziendali, QakBot utilizza avanzate tecniche di offuscamento per rimanere invisibile ai controlli delle soluzioni di sicurezza. Mira alle credenziali di accesso ai servizi di banking online per un semplice scopo: svuotare i conti correnti delle vittime. Oltre a questo, monitora l'attività di navigazione dai pc infetti e registra tutte le informazioni relative ai siti web di istituti bancari, di credito e finanziari.

sLoad in breve:
sLoad è in diffusione ormai da anni e ha fatto dell'Italia un bersaglio prediletto. Scopo principale di sLoad è quello di raccogliere quante più informazioni possibile dal sistema infetto, inviando tutto quello che viene raccolto ad un server di comando e controllo. Tramite il server 2C gli attaccanti ricevono le informazioni e inviano comandi al malware sulle mosse successive da eseguire. Spesso sLoad viene usato come mero malware downloader: una volta raccolte le informazioni sul sistema, sLoad viene usato come tramite per installare un secondo payload malware in base al tipo di sistema e quanto può far guadagnare gli attaccanti.

Come difendersi se non si è degli esperti
Tutti questi malware sono diffusi tramite email di spam contenenti allegati dannosi. Senza inoltrarci in eccessivi tecnicisimi, è essenziale (ma è anche un obbligo legale previsto dal GDPR) che aziende ed enti pubblici formino i dipendenti sul tema, affinchè non solo siano sensibilizzati su questi rischi, ma sappiano anche riconoscerli ed evitare il click sbagliato.