content/it-it/images/repository/isc/2021/rootkit_image1_710x400px_300dpi.jpg

Rootkit: definizione e significato

Un rootkit è un tipo di malware progettato per fornire agli hacker l'accesso e il controllo a un dispositivo preso di mira. Sebbene la maggior parte dei rootkit influisca sul software e sul sistema operativo, alcuni possono anche infettare l'hardware e il firmware dei computer. I rootkit sono abili nel nascondere la loro presenza, ma rimangono attivi anche se nascosti.

Una volta ottenuto l'accesso non autorizzato ai computer, i rootkit consentono ai criminali informatici di rubare dati personali e informazioni finanziarie, installare malware o utilizzare i computer come parte di una botnet per far circolare spam e partecipare ad attacchi DDoS (Distributed Denial of Service).

Il nome "rootkit" deriva dai sistemi operativi Unix e Linux, dove l'amministratore dell'account con i privilegi più elevati è chiamato "root". Le applicazioni che consentono l'accesso non autorizzato a livello di root o amministratore al dispositivo sono note come "kit".

Cosa sono i rootkit?

Un rootkit è un software utilizzato dai criminali informatici per ottenere il controllo su un computer o una rete. I rootkit possono talvolta apparire come software a sé stante, ma spesso sono costituiti da un insieme di strumenti di cui gli hacker si servono per controllare a livello di amministratore il dispositivo attaccato.

Gli hacker installano i rootkit sulle macchine prese di mira in diversi modi:

  1. Il più comune è il phishing o un altro tipo di attacco di social engineering. Le vittime scaricano e installano inconsapevolmente malware nascosti all'interno di altri processi in esecuzione sulle loro macchine, dando così agli hacker il controllo pressoché completo del sistema operativo.
  2. Un altro modo è sfruttare una vulnerabilità, ovvero una debolezza in un software o un sistema operativo non aggiornato, e forzare il rootkit nel computer.
  3. Il malware può anche essere associato ad altri tipi di file, come PDF infetti, supporti piratati o app ottenute da fonti sospette.

I rootkit operano vicino o all'interno del kernel del sistema operativo, il che dà loro la possibilità di impartire comandi al computer. Tutto ciò che si serve di un sistema operativo è un potenziale obiettivo per i rootkit e, man mano che l'Internet of Things si espande, potranno aggiungersi all'elenco apparecchi come frigoriferi e termostati.

I rootkit possono nascondere keylogger che registrano le pressioni dei tasti senza il tuo consenso. Sarà quindi facile per i criminali informatici rubare informazioni personali, come i dettagli della carta di credito o dei servizi bancari online. I rootkit possono consentire agli hacker di utilizzare il computer della vittima per lanciare attacchi DDoS o inviare e-mail di spam. Possono persino disabilitare o rimuovere i software di sicurezza.

Alcuni rootkit vengono utilizzati per scopi legittimi, ad esempio fornire supporto IT remoto o assistere le forze dell'ordine. Per lo più, tuttavia, vengono utilizzati per scopi dannosi. Ciò che rende i rootkit così pericolosi sono le varie forme di malware che possono distribuire, in grado di manipolare il sistema operativo di un computer e fornire accesso come amministratore agli utenti remoti.

Tipi di rootkit

1. Rootkit hardware o firmware

I rootkit hardware o firmware possono influire sul disco rigido, sul router o sul BIOS del sistema, cioè il software installato su un piccolo chip di memoria nella scheda madre del computer. Invece di prendere di mira il sistema operativo, prendono di mira il firmware per installare malware difficile da rilevare. Poiché influenzano l'hardware, consentono agli hacker di registrare le pressioni dei tasti e monitorare la tua attività online. Sebbene meno comuni di altri tipi, i rootkit hardware o firmware rappresentano una grave minaccia alla sicurezza online.

2. Rootkit del bootloader

Il meccanismo "bootloader" è responsabile del caricamento del sistema operativo su un computer. I rootkit del bootloader attaccano questo sistema, sostituendo il bootloader legittimo del computer con uno hackerato. Ciò attiva il rootkit anche prima che il sistema operativo del computer venga completamente caricato.

3. Rootkit di memoria

I rootkit di memoria si nascondono nella memoria ad accesso casuale (RAM) del computer e utilizzano le risorse del computer per svolgere attività dannose in background. I rootkit di memoria influiscono sulle prestazioni della RAM. Poiché risiedono solo nella RAM del computer e non iniettano codice permanente, i rootkit di memoria scompaiono non appena riavvii il sistema, anche se talvolta sono necessari maggiori sforzi per eliminarli. A causa della loro breve durata tendono a non essere percepiti come una minaccia significativa.

4. Rootkit di applicazione

I rootkit di applicazione sostituiscono file standard nel computer con file rootkit e possono persino cambiare il modo in cui funzionano le applicazioni. Questi rootkit infettano programmi come Microsoft Office, Blocco note o Paint. Gli aggressori possono ottenere l'accesso al computer ogni volta che questi programmi vengono eseguiti. Poiché i programmi infetti continuano a funzionare normalmente, gli utenti difficilmente si accorgono della presenza dei rootkit. I programmi anti-virus possono invece rilevarli poiché anch'essi operano al livello delle applicazioni.

5. Rootkit in modalità kernel

I rootkit in modalità kernel sono tra i tipi più gravi di questa minaccia, in quanto prendono di mira il nucleo del sistema operativo (cioè il livello del kernel). Gli hacker li usano non solo per accedere ai file sul computer, ma anche per modificare la funzionalità del sistema operativo aggiungendovi codice scritto da loro.

6. Rootkit virtuali

Un rootkit virtuale si carica da solo sotto il sistema operativo del computer. Ospita quindi i sistemi operativi vittime dell'attacco come una macchina virtuale, il che gli consente di intercettare le chiamate hardware effettuate dal sistema operativo originale. Questo tipo di rootkit non deve modificare il kernel per sovvertire il sistema operativo e può essere molto difficile da rilevare.

Esempi di rootkit

Stuxnet

Uno dei rootkit più famosi della storia è Stuxnet, un worm informatico dannoso scoperto nel 2010 che si ritiene fosse in fase di sviluppo dal 2005. Stuxnet ha causato danni sostanziali al programma nucleare dell'Iran. Sebbene nessuno dei paesi coinvolti abbia ammesso la responsabilità, è opinione diffusa che sia un'arma informatica creata congiuntamente da Stati Uniti e Israele in un'operazione nota come Olympic Games.

Altri esempi notevoli di rootkit:

Flame

Nel 2012, gli esperti di sicurezza informatica hanno scoperto Flame, un rootkit utilizzato principalmente per lo spionaggio informatico in Medio Oriente. Flame, noto anche come Flamer, sKyWIper e Skywiper, influisce sull'intero sistema operativo di un computer, ottenendo la capacità di monitorare il traffico, acquisire screenshot e audio e registrare le sequenze di tasti. Gli hacker dietro Flame non sono stati individuati, ma gli studi suggeriscono che abbiano utilizzato 80 server in tre continenti per accedere ai computer infetti.

Necurs

Nel 2012, Necurs è emerso come rootkit e, secondo quanto riferito, è stato rilevato in 83.000 infezioni quell'anno. Associato all'élite della criminalità informatica dell'Est Europa, Necurs si distingue per la complessità tecnica e la capacità di evolversi.

ZeroAccess

Nel 2011, gli esperti di sicurezza informatica hanno scoperto ZeroAccess, un rootkit in modalità kernel che ha infettato più di 2 milioni di computer in tutto il mondo. Piuttosto che influenzare direttamente le funzionalità dei computer, questo rootkit scarica e installa malware sulla macchina infetta e la rende parte di una botnet mondiale utilizzata dagli hacker per eseguire attacchi informatici. ZeroAccess viene correntemente utilizzato.

TDSS

Il rootkit TDSS è stato rilevato per la prima volta nel 2008. È simile ai rootkit del bootloader perché viene caricato ed eseguito nelle fasi iniziali dei sistemi operativi, rendendone arduo il rilevamento e la rimozione.

Scansione di rootkit

Come rilevare i rootkit

Rilevare la presenza di un rootkit su un computer può essere difficile, poiché questo tipo di malware viene esplicitamente progettato per rimanere nascosto. I rootkit possono anche disabilitare i software di sicurezza, il che rende il compito ancora più difficile. Di conseguenza, il malware rootkit potrebbe rimanere sul computer per molto tempo causando danni significativi.

I possibili segnali di malware rootkit includono:

1. Schermata blu

Un grande volume di messaggi di errore di Windows o schermate blu con testo bianco (il famoso "blue screen of death") viene visualizzato e il computer deve costantemente riavviarsi.

2. Comportamento insolito del browser Web

Potrebbe includere segnalibri non riconosciuti o reindirizzamenti dei collegamenti.

3. Prestazioni lente

Il dispositivo impiega un po' di tempo per avviarsi, funziona lentamente o si blocca spesso. Potrebbe anche non rispondere all'input del mouse o della tastiera.

4. Le impostazioni di Windows cambiano senza autorizzazione

Tra queste potrebbero esservi la modifica del salvaschermo, la barra delle applicazioni che viene nascosta o la visualizzazione di data e ora non corrette, anche se l'utente non ha cambiato nulla.

5. Le pagine Web non funzionano correttamente

Le pagine Web o le attività di rete appaiono funzionare in modo intermittente o non corretto a causa dell'eccessivo traffico di rete.

Una scansione dei rootkit è il modo migliore per rilevare un'infezione da rootkit, avviabile dalla tua soluzione anti-virus. Se si sospetta un virus rootkit, un modo per rilevare l'infezione è spegnere il computer ed eseguire la scansione da un sistema pulito noto.

L'analisi del comportamento è un altro metodo di rilevamento dei rootkit. In altre parole, anziché andare a caccia del rootkit, vengono rilevati i comportamenti tipici di un rootkit. Mentre le scansioni mirate funzionano bene se sai che il sistema si sta comportando in modo strano, un'analisi del comportamento potrebbe avvisarti della presenza di un rootkit prima che ti renda conto di essere sotto attacco.

Come sbarazzarsi dei rootkit

La rimozione di un rootkit è un processo complesso e in genere richiede strumenti specializzati, come l'utilità TDSSKiller di Kaspersky, che può rilevare e rimuovere il rootkit TDSS. A volte l'unico modo per eliminare completamente un rootkit ben nascosto è ripristinare il sistema operativo del computer.

Come rimuovere rootkit da Windows

Su Windows, la rimozione in genere implica l'esecuzione di una scansione. Se l'infezione è profonda, l'unico modo per rimuovere il rootkit è reinstallare Windows. È meglio farlo tramite un dispositivo di archiviazione esterno invece di utilizzare il programma di installazione di Windows integrato. Alcuni rootkit infettano il BIOS, e ciò richiederà una riparazione per essere risolto. Se il rootkit persiste dopo una riparazione, potrebbe essere necessario acquistare un nuovo PC.

Come rimuovere rootkit dal Mac

Su Mac, tieni aggiornato il computer alle nuove versioni. Gli aggiornamenti del Mac non aggiungono solo nuove funzionalità, ma rimuovono anche malware, inclusi i rootkit. Apple ha funzionalità di sicurezza integrate per proteggersi dal malware. Tuttavia, non esistono strumenti per il rilevamento dei rootkit noti su macOS, quindi se sospetti che sia presente un rootkit sul tuo dispositivo, dovresti reinstallare macOS. In questo modo rimuoverai la maggior parte delle app e dei rootkit sul computer. Come detto sopra, se il rootkit ha infettato il BIOS, richiederà una riparazione. Se tuttavia dovesse permanere, potrebbe essere necessario acquistare un nuovo dispositivo.

Come prevenire i rootkit

Poiché i rootkit possono essere pericolosi e difficili da rilevare, è importante rimanere vigili durante la navigazione in Internet o il download dei programmi. Molte delle stesse misure protettive adottate per evitare i virus informatici aiutano anche a ridurre al minimo il rischio di rootkit:

1. Utilizza una soluzione di cybersecurity completa

Proteggi in modo proattivo i tuoi dispositivi e installa una soluzione anti-virus completa e avanzata. Kaspersky Total Security fornisce una protezione completa dalle minacce informatiche e consente inoltre di eseguire scansioni rootkit.

2. Installa gli aggiornamenti

Gli aggiornamenti periodici del software sono essenziali per rimanere al sicuro e impedire agli hacker di infettarti con malware. Mantieni aggiornati tutti i programmi e il sistema operativo per evitare attacchi rootkit che sfruttano le vulnerabilità.

3. Presta attenzione alle truffe di phishing.

Il phishing è un tipo di attacco di social engineering in cui i truffatori utilizzano l'e-mail per indurre gli utenti a fornire le proprie informazioni finanziarie o scaricare software dannoso, come i rootkit. Per evitare che i rootkit si infiltrino nel computer, evita di aprire e-mail sospette, soprattutto se il mittente non ti è familiare. Se non sei sicuro che un collegamento sia affidabile, non fare clic.

4. Scarica file solo da fonti attendibili

Fai attenzione quando apri gli allegati ed evita di aprire allegati da persone che non conosci per impedire l'installazione di rootkit sul tuo computer. Scarica software solo da siti affidabili. Non ignorare gli avvisi del browser Web quando ti segnala che un sito che stai tentando di visitare non è sicuro. 

5. Fai attenzione al comportamento o alle prestazioni del computer

Comportamenti insoliti potrebbero indicare che un rootkit è in funzione. Stai attento a eventuali cambiamenti imprevisti e cerca di scoprire perché si verificano.

I rootkit sono uno dei tipi di malware più difficili da trovare e rimuovere. Poiché sono difficili da rilevare, la prevenzione è spesso la migliore difesa. Per garantire una protezione continua, rimani aggiornato sulle ultime minacce per la sicurezza informatica.

Articoli correlati:

Cosa sono i rootkit: definizione e spiegazione

Cosa sono i rootkit? Il malware rootkit offre agli hacker il controllo sui computer presi di mira. Scopri come rilevare i rootkit, come prevenirli e come sbarazzartene.
Kaspersky Logo