Le informazioni sono state rubate. E ora? Il lungo e doloroso processo di recupero

A cura di Samuele Zaniboni, Manager of Sales Engineering di ESET Italia

A maggio 2023, l’ESET Threat Report aveva già messo in evidenza i rischi legati all’utilizzo di software scaricato da fonti considerate “affidabili” ma che si rivelano tutt’altro che sicure, spesso contenenti malware come ransomware o infostealer. Nonostante gli sforzi per sensibilizzare gli utenti sui pericoli associati a tali pratiche, la situazione non è migliorata di molto.

Il Threat Report di ESET per la prima metà del 2024 ha mostrato un aumento significativo degli infostealer rilevati. Questi malware non sono più nascosti solo in giochi piratati per Windows, crack e tool non ufficiali, ma si presentano anche come strumenti di AI generativa. Inoltre, non sono limitati al sistema operativo Windows: GoldDigger, la famiglia di malware per il furto di informazioni funziona su dispositivi con sistema operativo Android, mentre la campagna Ebury, attiva da oltre un decennio, sottrae carte di credito, criptovalute e credenziali SSH su sistemi operativi di tipo UNIX.

Analizzando le rilevazioni degli infostealer nel periodo compreso tra agosto 2022 e agosto 2024, emerge che queste minacce sono rimaste costantemente attive, con cali evidenti durante i mesi di dicembre e gennaio. Si ipotizza che ciò possa dipendere dalla minore attività informatica delle vittime o da una pausa degli stessi criminali, un fenomeno comune da quando i singoli hacker si sono evoluti in vere e proprie organizzazioni criminali strutturate.

Tra le famiglie di infostealer individuate da ESET, le prime dieci rappresentano oltre il 56% dei rilevamenti, con Agent Tesla in cima alla classifica al 16,2%. Anche se la maggior parte di questi malware colpisce sistemi Windows, esistono infostealer basati sul web, che, pur avendo tassi di diffusione inferiori, potrebbero avere un impatto significativo su utenti non protetti da soluzioni di sicurezza ESET.

Le differenze nei dati tra i vendor di cybersecurity sono normali. Ad esempio, secondo il report sulle tendenze malware del secondo trimestre del 2024 di ANY.RUN, gli infostealer sono scesi dal primo al quarto posto rispetto al trimestre precedente. Queste variazioni sono attribuibili a fattori come il diverso metodo di classificazione delle minacce, la base clienti o l’uso specifico degli strumenti.

Cosa sono gli infostealer?

Gli infostealer sono malware progettati per sottrarre qualsiasi informazione ritenuta di valore dagli operatori. Questo include non solo username e password per siti web, ma anche credenziali di applicazioni, account di gioco, portafogli di criptovalute e token di sessione. Gli account rubati possono essere utilizzati per compiere ulteriori truffe o rivenduti sul mercato nero.

I token di sessione, ad esempio, permettono ai criminali di accedere a un account senza dover reinserire credenziali o autenticazione a due fattori. Questi vengono spesso presi di mira proprio per bypassare i controlli di sicurezza.

Gli infostealer non si limitano al furto di informazioni: in alcuni casi, possono installare malware aggiuntivi per mantenere l’accesso al sistema o cancellarsi dopo aver completato il furto, rendendo più difficile risalire all’attacco.

Il business del furto di informazioni

Gli infostealer spesso operano come “crimeware-as-a-service”, consentendo ai loro acquirenti di personalizzarne il funzionamento in base alle loro esigenze. Una volta completato il furto, possono auto-eliminarsi per rendere più difficile identificare l’attacco, oppure installare ulteriori malware per mantenere l’accesso al sistema infettato.

Come riprendersi da un attacco con furto di informazioni

La prima azione da intraprendere è formattare il disco rigido del computer e reinstallare il sistema operativo, a meno che non sia necessario conservare il dispositivo come prova. Se il backup dei dati non è aggiornato, si consiglia di rimuovere l’hard disk, sostituirlo con uno nuovo e installare un sistema operativo pulito. I dati importanti potranno poi essere recuperati tramite un case esterno.

Successivamente, è necessario cambiare tutte le password degli account online, utilizzando combinazioni complesse e uniche per ogni servizio. È fondamentale evitare variazioni prevedibili delle password precedenti. L’abilitazione dell’autenticazione a due fattori per tutti i servizi disponibili aumenterà ulteriormente la sicurezza.

Un altro passaggio essenziale è terminare tutte le sessioni attive sui dispositivi precedentemente autorizzati. Questa misura previene l’uso non autorizzato dei token di sessione sottratti.

Infine, è importante denunciare il crimine alle forze dell’ordine e informare le istituzioni finanziarie coinvolte. Negli Stati Uniti, è possibile fare una segnalazione all’Internet Crime Complaint Center (IC3), utile per tracciare le attività criminali, mentre in Italia ci si può rivolgere alla Polizia Postale e delle Comunicazioni.

Strategie difensive

Prevenire è meglio che curare. Per proteggersi dagli infostealer, è consigliabile:

• Utilizzare password lunghe, uniche e diverse per ogni servizio, preferibilmente con un gestore di password
• Abilitare l’autenticazione a due fattori, preferendo token hardware o app dedicate
• Monitorare i dispositivi connessi agli account e rimuovere quelli non riconosciuti
• Evitare software piratati, crack e strumenti simili, poiché sono veicoli frequenti di malware
• Mantenere aggiornati sistema operativo, applicazioni e software di sicurezza
• Seguire blog di sicurezza informatica per rimanere aggiornati sulle nuove minacce.

Seguire queste raccomandazioni può ridurre significativamente il rischio di diventare vittime di questi attacchi o agevolare la ripresa nel caso in cui ciò accada.