Malware-ul este orice program creat pentru a pătrunde pe un dispozitiv fără știrea ta și pentru a provoca daune: a fura date, a cripta fișiere pentru răscumpărare, a te spiona sau a transforma computerul într-o verigă a unei rețele străine. Sub această denumire generală se ascund zeci de tipuri diferite — de la viruși clasici la arme cibernetice de stat. Analizăm cum funcționează, prin ce se deosebesc și ce oferă cu adevărat protecție.

Ce este malware-ul

Malware (din engleză malware, de la malicious software — software rău intenționat) este un cod dezvoltat pentru atacuri cibernetice: pentru a obține acces neautorizat la un computer sau o rețea sau pentru a le deteriora. În limbajul curent, malware-ul este adesea numit „virus de computer”, dar virusul este doar unul dintre multele sale tipuri, iar între ele există diferențe substanțiale.

O scurtă istorie: de la experimente inofensive la arme cibernetice

Primele programe capabile să se mute singure de la un computer la altul au fost experimente, nu arme. Creeper, la începutul anilor 1970, pur și simplu se deplasa între mașini fără a cauza daune. Viermele Morris a afectat, pe 2 noiembrie 1988, aproximativ 6.000 din cele circa 60.000 de computere conectate la internet în acea perioadă — a fost prima infecție de rețea la scară largă, deși daunele au fost provocate mai degrabă accidental, din cauza unei erori în cod.

Termenii înșiși abia se stabileau atunci: virușii informatici au fost definiți formal și demonstrați de cercetătorul Fred Cohen în 1983–1984. Malware-ul adevărat — creat intenționat pentru a dăuna sau pentru profit — a apărut masiv mai târziu, în anii ‘90, când internetul a devenit comercial și a apărut tentația de a-l folosi în scopuri malițioase.

Principalele tipuri de malware

La fel ca programele legale, malware-ul a evoluat și s-a îmbogățit cu diverse funcții. Atacatorii combină adesea capacitățile mai multor tipuri într-un singur atac. Mai jos sunt cele mai frecvente categorii.

Viruși și viermi

Virusul este un cod care se copiază singur, inserându-se în fișiere sau programe, și de obicei are nevoie de o „gazdă” pentru a se răspândi; mulți viruși deteriorează sau distrug datele în acest proces. Viermele, în schimb, se răspândește singur, de la un sistem la altul, fără nicio acțiune din partea utilizatorului — cel mai adesea exploatând vulnerabilități ale sistemelor de operare sau ale programelor. Capacitatea de auto-răspândire face din viermi una dintre cele mai persistente forme de amenințare.

Troieni

Troianul se maschează ca un instrument legitim — o actualizare, o aplicație utilă, o descărcare — și începe să acționeze odată ajuns în interiorul sistemului. În funcție de capacități, acesta poate intercepta login-uri și parole, apăsări de taste, capturi de ecran, detalii bancare și poate trimite totul pe ascuns atacatorilor, uneori dezactivând și protecția. Datorită acestei versatilități, troienii sunt folosiți de toată lumea — de la hackeri solitari la operațiuni de spionaj statal.

Ransomware (programe de răscumpărare)

Ransomware-ul criptează fișierele de pe un sistem infectat și blochează accesul până când victima plătește o răscumpărare în criptomonedă. Cel mai adesea ajunge pe dispozitiv printr-un e-mail de phishing cu un atașament sau un link. Scara globală a fost demonstrată pentru prima dată clar de WannaCry în mai 2017: datorită capacităților de vierme și exploit-ului EternalBlue, acesta a afectat peste 200.000 de computere în aproximativ 150 de țări în doar câteva zile.

Astăzi, aceasta este în primul rând o afacere a criminalității cibernetice. Potrivit Chainalysis, în cursul anului 2024, victimele au plătit atacatorilor aproximativ 813,55 milioane de dolari — cu 35% mai puțin decât recordul de 1,25 miliarde din 2023. Tendința este încurajatoare: tot mai multe organizații refuză să plătească, iar forțele de ordine sunt mai active în eliminarea grupărilor.

Spyware (programe de spionaj)

Spyware-ul urmărește discret activitățile de pe dispozitiv: istoricul navigării, aplicațiile rulate, mesajele. Acesta poate veni ca parte a unui troian, împreună cu o extensie de browser dubioasă sau prin publicitate malițioasă. Cel mai cunoscut exemplu de spyware comercial este Pegasus de la compania NSO Group: acesta a folosit o vulnerabilitate „zero-click” în iMessage (fără a necesita nicio acțiune de la victimă) și a fost utilizat împotriva jurnaliștilor, activiștilor și oficialilor de rang înalt. Apple a remediat această breșă în iOS 14.8.

Wiper — malware pentru distrugerea datelor

Spre deosebire de ransomware, wiper-ul nu urmărește banii — singurul său scop este de a distruge datele sau de a face sistemul inoperabil. Unul dintre primele astfel de programe a fost Shamoon, care a atacat companiile energetice din Arabia Saudită. Pentru contextul actual, pe 23 februarie 2022, cu câteva ore înainte de invazia pe scară largă, organizațiile ucrainene au fost lovite de HermeticWiper, afectând sute de mașini. Aceasta a făcut parte dintr-un val mai larg de atacuri destinate sabotajului digital.

Adware (programe publicitare)

Scopul adware-ului este să te determine să dai click: fiecare click aduce venituri atacatorului. De obicei, nu fură date și nu strică dispozitivul, ci doar enervează prin ferestre pop-up. Însă pe smartphone-uri, afluxul de reclame poate duce la descărcarea extremă a bateriei sau poate face dispozitivul aproape inutilizabil.

Botnet-uri

Un botnet este o rețea de zeci, mii sau chiar milioane de dispozitive infectate sub un singur control. Atacatorul dă comenzi tuturor „zombilor” simultan: trimite spam, fură date sau efectuează atacuri DDoS. Un exemplu clasic este botnet-ul Mirai din octombrie 2016, format în principal din dispozitive IoT (camere, routere) cu parole din fabrică. Acesta a doborât furnizorul de DNS Dyn, lăsând temporar fără acces servicii precum Twitter, Netflix și Amazon.

Cryptojacking

Minarea de criptomonede nu este ilegală în sine — spre deosebire de preluarea secretă a dispozitivelor altora pentru acest scop. Cryptojacking-ul încarcă discret procesorul victimei cu calcule, ceea ce poate încetini sistemul până la oprire „fără un motiv aparent”. Pe lângă PC-uri și servere, o țintă populară sunt dispozitivele IoT slab protejate.

Malware fără fișiere (fileless)

Cu cât antivirușii tradiționali sunt detectați tot mai bine de antivirusuri, așa că atacatorii trec la malware-ul fără fișiere. Acesta nu lasă un fișier pe disc, ci rulează direct în memorie, abuzând de instrumente legitime ale sistemului. Din acest motiv, este greu de observat de către antivirus, dar își pierde puterea dacă sistemele sunt actualizate la timp și drepturile de administrator ale utilizatorilor sunt limitate.

Cum ajunge malware-ul pe dispozitive

Odată, virușii erau livrați fizic — pe dischete și CD-uri. Acest vector nu a dispărut: încă mai există atacuri în care stick-uri USB infectate sunt lăsate „accidental” în parcări, sperând în curiozitatea angajaților. Însă astăzi, principalul canal este phishing-ul: un e-mail cu un atașament sau un link malițios.

Acesta funcționează pe bază de emoții. Mesajul sperie sau ispitește — se pretinde că ai câștigat un premiu, ai ratat o livrare sau trebuie să verifici urgent un cont bancar — iar utilizatorul dă click fără să se gândească. Unele atacuri nu necesită nicio acțiune: malware-ul pătrunde prin vulnerabilități din rețea și programe.

Amenințări pentru diferite platforme

Exista mitul că doar computerele cu Windows sunt victime, iar Mac-urile sunt „invulnerabile”. Nu este așa: încă de la mijlocul anilor 2000, atacatorii creează malware special pentru produsele Apple. Smartphone-urile au devenit, de asemenea, o țintă valoroasă, conținând un volum uriaș de date personale. Majoritatea amenințărilor mobile vizează Android, datorită cotei mari de piață și ecosistemului deschis. iPhone-ul este mai bine protejat, dar atacurile țintite (ca Pegasus) încă au loc.

Cum să te protejezi de malware

Igienă cibernetică de bază acoperă majoritatea riscurilor:

  • Actualizează totul la timp. Instalează patch-urile de securitate imediat ce apar.
  • Fă copii de rezervă (backup). Backup-ul regulat al datelor importante devalorizează atacul de tip ransomware.
  • Activează autentificarea multifactor. Chiar dacă parola este furată, factorul suplimentar va fi o barieră.
  • Folosește un software de protecție de încredere. O soluție antivirus bună va intercepta majoritatea atacurilor cunoscute.
  • Fii vigilent cu phishing-ul. Nu deschide atașamente neașteptate și nu da click pe link-uri suspecte.
  • Limitează drepturile de acces. Nu lucra zilnic de pe un cont de administrator.
  • Schimbă parolele din fabrică la dispozitivele IoT. Parolele implicite sunt principala sursă de alimentare pentru botnet-uri.

Acest articol a fost publicat anterior pe site-ul CyberCalm și a fost tradus în limba română.