Worm Informatico

Voci di Glossario Sicurezza Informatica
Indice dei contenuti

    Un worm informatico è un tipo di malware che si propaga autonomamente attraverso reti di calcolatori, sfruttando vulnerabilità informatiche nei servizi esposti per replicarsi da sistema a sistema senza necessità di un file host né di interazione umana. Si distingue dal virus perché non deve essere eseguito manualmente da un utente: il worm scansiona attivamente la rete in cerca di sistemi vulnerabili e li infetta automaticamente.

    Meccanismo di propagazione

    Un worm si propaga in quattro fasi automatizzate:

    1. Scansione: il worm esegue una scansione di rete (spesso randomizzata sull’intero spazio IPv4) cercando host che espongono un servizio vulnerabile — una porta specifica, un servizio con versione nota come affetta da una CVE.
    2. Exploit: all’individuazione di un host vulnerabile, il worm sfrutta la vulnerabilità per eseguire codice arbitrario sul sistema remoto.
    3. Installazione: il codice del worm si copia sul sistema appena compromesso.
    4. Replicazione: il sistema neo-infetto avvia a sua volta la scansione e propaga ulteriormente il worm — crescita esponenziale.

    Esempi storici e impatto

    Morris Worm (1988): il primo worm documentato. Sfruttava vulnerabilità in sendmail, fingerd e rsh su VAX e Sun Microsystems. Infettò circa 6.000 macchine — il 10% di Internet dell’epoca — causando il primo caso giudiziario per reati informatici negli USA.

    Code Red (2001): sfruttava un buffer overflow in IIS 5.0 (Microsoft). Infettò 359.000 sistemi in 14 ore, generando traffico sufficiente a degradare segmenti significativi di Internet.

    Slammer (2003): il worm più rapido della storia — infettò 75.000 sistemi in 10 minuti, raddoppiando il numero di macchine compromesse ogni 8, 5 secondi. Sfruttava un buffer overflow in SQL Server 2000, trasmettendo l’intero payload in un singolo pacchetto UDP da 376 byte.

    WannaCry (2017): ransomware-worm che sfruttava EternalBlue, un exploit NSA per SMBv1 trafugato e pubblicato da Shadow Brokers. Infettò oltre 200.000 sistemi in 150 paesi in meno di 24 ore, cifrandone i dati. L’impatto maggiore colpì il NHS britannico (ospedali), Telefónica e FedEx. Un kill switch accidentalmente integrato nel codice ne limitò la diffusione totale.

    Payload

    Il worm è un vettore di propagazione: il suo payload può essere qualsiasi azione malevola — installazione di una backdoor, deploy di ransomware, partecipazione a una botnet, distruzione dei dati. WannaCry aveva payload ransomware; NotPetya (mascherato da ransomware) aveva payload wiper distruttivo; Slammer aveva payload DDoS.

    Difesa

    La difesa primaria contro i worm è il patch management tempestivo: WannaCry sfruttava una vulnerabilità (MS17-010) per cui Microsoft aveva rilasciato la patch due mesi prima dell’attacco. La segmentazione di rete limita la propagazione laterale anche dopo l’infezione iniziale. Il blocco delle porte non necessarie (SMBv1 su porta 445 esposta a Internet) riduce la superficie di attacco.

    Ultimo aggiornamento: