C’è un vecchio stereotipo, alimentato dal cinema e dai media, secondo cui un attacco informatico inizia sempre con un file dannoso: un virus allegato a un’email, un trojan mascherato da programma legittimo o un ransomware che blocca lo schermo con un teschio rosso. Nella realtà della cybersecurity odierna, questa immagine è ormai obsoleta.
I dati più recenti delineano uno scenario radicalmente diverso: la stragrande maggioranza delle intrusioni rilevate non utilizza alcun codice maligno. Questo fenomeno prende il nome di minacce malware-free (prive di malware), e ha rappresentato ben l’82% dei rilevamenti complessivi.
Questo significa che in più di 8 attacchi su 10, gli hacker non hanno installato alcun virus sui computer delle vittime. Hanno semplicemente usato le porte d’ingresso legittime, trasformando gli strumenti quotidiani di lavoro in armi digitali.
Cosa Significa “Malware-Free” e Come Funziona?
Un attacco malware-free si basa sul principio di non destare sospetti. Invece di violare un sistema con la forza bruta o inserendo file sconosciuti, i criminali informatici preferiscono “entrare con le chiavi in mano”.
Le tecniche principali utilizzate per compiere questi attacchi invisibili si dividono in due grandi categorie:
Il Furto di Credenziali Legittime (Identity-Based Attacks)
La maggior parte degli attacchi inizia compromettendo l’identità di un utente. Attraverso campagne mirate di phishing, tecniche di ingegneria sociale o acquistando pacchetti di password nel Dark Web, gli hacker ottengono il nome utente e la password di un dipendente. Una volta dentro, l’attaccante viene scambiato dal sistema per il lavoratore legittimo, ottenendo libero accesso a file, email e database aziendali senza far scattare alcun allarme.
La Tecnica del “Living off the Land” (LotL)
Una volta effettuato l’accesso, per muoversi all’interno della rete e rubare i dati, gli hacker applicano la strategia definita Living off the Land (vivere dei prodotti della terra). Invece di scaricare strumenti di hacking, utilizzano i programmi di amministrazione già presenti di default nel sistema operativo della vittima (come PowerShell o WMI su Windows). Poiché questi programmi sono legittimi e usati quotidianamente dai tecnici informatici dell’azienda, le azioni dell’hacker si mimetizzano perfettamente con il normale traffico di lavoro.
L’illusione della sicurezza: Un antivirus tradizionale scansiona il disco fisso alla ricerca di file con “firme” pericolose. Se l’attaccante usa una password vera e comandi standard di Windows, per l’antivirus quell’attività è sicura al 100%.
Perché i Criminali Informatici Hanno Abbandonato i Malware?
Il passaggio di massa alle tecniche malware-free non è un capriccio, ma una risposta diretta all’evoluzione delle difese aziendali. Negli ultimi anni, le suite di sicurezza informatica sono diventate estremamente abili nel riconoscere, isolare e distruggere i file eseguibili sospetti.
Di fronte a barriere difensive sempre più alte per i virus tradizionali, i cyber-criminali hanno capito che era molto più conveniente, economico e sicuro cambiare strategia. Sfruttare un errore umano per farsi consegnare una password richiede meno sforzo ingegneristico rispetto alla scrittura di un malware sofisticato capace di eludere i controlli. Inoltre, muoversi senza file riduce drasticamente le tracce lasciate nei registri di sistema, aumentando il tempo in cui l’hacker può rimanere nascosto all’interno della rete aziendale per spiare o sottrarre informazioni (il cosiddetto dwell time).
Come Difendersi da un Nemico che Non Lascia Tracce
Se i virus stanno scomparendo per lasciare spazio al furto di identità e all’uso improprio di strumenti legittimi, le aziende non possono più pensare di proteggersi usando solo i vecchi antivirus per computer.
La difesa moderna deve spostarsi su un paradigma incentrato sull’identità e sul comportamento:
- Autenticazione a Più Fattori (MFA) Flessibile: Non basta più richiedere una password complessa. Diventa vitale implementare sistemi di autenticazione a più fattori avanzati, preferibilmente resistenti al phishing (come le chiavi hardware o i sistemi biometrici).
- Architettura Zero Trust: Il principio cardine deve essere “non fidarsi mai, verificare sempre”. Nessun utente e nessun dispositivo deve avere accesso a tutto il network solo perché si trova all’interno dell’ufficio. Ogni richiesta di accesso a un file o a un server deve essere isolata e verificata.
- Analisi Comportamentale (XDR ed EDR): Poiché i comandi usati dagli hacker sono legittimi, i sistemi di sicurezza avanzati devono analizzare il contesto. Se un impiegato dell’ufficio marketing, che di solito usa solo la posta elettronica, improvvisamente avvia PowerShell a mezzanotte per raccogliere dati da un server finanziario, il sistema di sicurezza deve rilevare questa anomalia comportamentale e bloccare l’account all’istante.
In Conclusione
Il fatto che l’82% dei rilevamenti sia malware-free dimostra che la cybersecurity è diventata, a tutti gli effetti, una sfida incentrata sulla protezione delle identità digitali. Le aziende devono prendere coscienza che il pericolo più grande non è più l’introduzione di un codice maligno dall’esterno, ma l’abuso silenzioso e invisibile dei propri stessi strumenti di lavoro quotidiani.