Lo Studio eroga servizi di malware analysis, cioè perizia informatica di analisi di malware, virus, trojan o software compromesso al fine di ricostruirne staticamente e dinamicamente il comportamento, così da poter ricavare – ove possibile – informazioni su indirizzi IP coinvolti, soggetti, attori, indirizzi di posta, wallet cryptocurrency, etc… coinvolti nell’infezione.

Ove possibile, le perizie informatiche di analisi malware (c.d. “malware analysis”) e virus possono permettere l’identificazione o l’attribuzione degli attori dell’infezione, le modalità con le quali il sistema è stato infettato, eventuali dati esfiltrati/acceduti/fuoriusciti/eliminati/cifrati (informazione particolarmente utile in caso di segnalazione di data breach in ambito GDPR), le responsabilità, il perimetro di azione, le vulnerabilità sfruttate, al fine di poter operare compiute valutazioni legali ad esempio in ambito assicurativo, ransomware, legato a pagamenti di riscatti, perdita di dati, danni a utenti, violazioni privacy.

A cosa serve una perizia forense di analisi malware

L’analisi forense del malware – tramite tecniche e strumenti di malware analysis – ha tipicamente una finalità orientata alla ricerca di evidenze utili per identificare potenziali autori di reati, trovare le zone nelle quali sono fuoriusciti dati, valutare responsabilità di sistemisti, operatori, dipendenti, IT, service desk, assistenza o comunque delle varie parti che hanno contribuito al verificarsi dell’incidente informatico che ha portato alla necessità di una perizia informatica.

La perizia forense di ricostruzione delle attività svolte dai malware viene quindi a colmare il gap tra l’acquisizione forense e una perizia informatica che entra nel merito dei contenuti di una copia, analizzandone le funzionalità di particolari software malevoli che possono aver compromesso l’integrità del sistema, aver fatto perdere fondi, criptovalute, wallet, attivato transazioni bancarie o di cryptocurrency.

Quanto costa un’analisi forense di malware, virus, ransomware, trojan?

L’analisi forense del malware – tramite tecniche e strumenti di malware analysis – ha un costo altamente dipendente dalla tipologia di malware, dal fatto che si analizzi la copia forense del sistema oppure il malware in maniera indipendente dall’ambiente in cui è stato prelevato o in cui ha agito, dal tipo di sistema (Windows, MacOS, Linux, Android, iOS), dalla tipologia di file (Exe, APK, IPA, binari, etc…) e da fattori spesso non prevedibili in fase di preventivazione.

Il prezzo di una perizia informatica di analisi dei malware in ogni caso in genere prevede almeno 2/3 giornate uomo e un minimo di 2/3.000 euro come base per la valutazione preliminare, ma come indicato sopra è fortemente dipendente dal contesto.

Stesso dicasi per le tempistiche di realizzazione delle perizie informatiche di malware analysis su sample, campioni, software infetti, trojan, ransomware, payload, dropper che possono variare in base alla tipologia di materiale infetto oggetto di analisi e dal fatto che siano presenti tecniche di evasione, offuscamento, detection di macchine virtuali o altri espedienti finalizzati a rallentare le analisi.

Schema di Gestione della Malware Analysis

Di base, le analisi forensi per la perizia di analisi malware seguono il seguente schema, che ovviamente può essere integrato in base alle esigenze specifiche:

1) Raccolta e Preparazione del Sample (eventualmente da copia forense)

• Identificazione della fonte del malware (email, eseguibili, allegati, rete)
• Creazione di un ambiente sicuro (sandbox, macchine virtuali isolate)
• Certificazione tramite valore hash del file per garantire integrità (SHA-256, MD5)
• Classificazione preliminare (eseguibile, script, macro, file sospetto)

2) Analisi Statica

• Metadati del file (dimensione, nome, timestamp)
• Strings Extraction (esaminare stringhe in chiaro)
• Disassemblaggio/decifratura/deoffuscamentp (Ghidra, IDA Pro) per vedere le istruzioni senza eseguire il codice
• Analisi delle dipendenze (DLL, API chiamate, librerie usate)
• Firma/fingerprint del malware (confronto con database come VirusTotal, YARA rules)

3) Analisi Dinamica

• Esecuzione in un ambiente controllato (sandbox, ambiente live/reale monitorato)
• Monitoraggio del comportamento (Process Monitor, Sysmon, Wireshark)
• Identificazione di modifiche al sistema (registro di Windows, file system, processi)
• Analisi del traffico di rete (richieste HTTP/S, connessioni a C2 server, proxy, Tor, VPN)

4) Analisi Avanzata e Reverse Engineering

• Debugging con strumenti come OllyDbg, x64dbg
• Deoffuscazione di codice offuscato (Python scripts, packers)
• Identificazione di tecniche di evasione (anti-VM, anti-debugging)
• Analisi del payload (dropper, backdoor, ransomware encryption)

5) Classificazione e Report

• Categorizzazione del malware (trojan, worm, ransomware, spyware)
• Creazione di IOC (Indicators of Compromise)
• Redazione del report tecnico per il team di sicurezza
• Verifica delle informazioni su database di Threat Intelligence (MITRE ATT&CK, MISP)

6) Contromisure e Mitigazione

• Rimozione del malware e bonifica del sistema
• Aggiornamento delle firme antivirus e regole IDS/IPS
• Implementazione di policy di sicurezza più restrittive
• Formazione degli utenti su phishing e minacce informatiche

Come richiedere una perizia informatica di analisi malware

Per richiedere una perizia informatica in ambito malware analysis è sufficiente contattarci tramite la pagina contatti, scrivere una mail o eventualmente telefonare in Studio per ricevere assistenza, una valutazione preliminare del caso e un preventivo con tempi e costi della perizia informatica forense.