L’apocalisse del cryptojacking: La disfatta dei Quattro Cavalieri del cryptomining

Nonostante le fluttuazioni dei prezzi del bitcoin e delle altre criptovalute, il cryptojacking continua ad essere una grave minaccia – spesso sottovalutata – per le grandi aziende, le PMI ed il consumatore in genere.

Il tipo più subdolo di queste minacce è costituito dal cryptomining tramite browser, nel quale le forme più diffuse di malware cercano di trasformare i dispositivi in mining bot di criptovalute a tempo pieno denominato cryptojacker.

Per cercare di farvi capire in che cosa consiste questa minaccia, vi presento una sintesi dei miei classici insegnamenti sull’argomento, prendendomi la libertà di enfatizzare la situazione. Se ritenete che l’avanzata del cryptojacking sia stata un’apocalisse come credono alcuni di coloro che ne sono rimasti vittima, i Quattro Cavalieri costituiscono altrettante minacce per i vostri endpoint e le vostre aziende:

  • Cavallo bianco: L’energia consumata e sprecata
  • Cavallo rosso: La perdita di produttività dovuta alle risorse limitate
  • Cavallo nero: I danni che possono provocare al sistema
  • Cavallo verdastro: Implicazioni di sicurezza dovute alle vulnerabilità introdotte

Diversamente dal ransomware, che è pensato per essere visibile (per richiedere il pagamento), il lavoro del cryptojacker si svolge in modo invisibile dietro le quinte (anche se il diagramma delle prestazioni della CPU o la ventola del dispositivo possono indicare un’attività anomala).

Negli ultimi due anni gli autori di ransomware hanno cambiato marcia, nel senso di un maggiore ricorso al cryptojacking, poiché l’efficacia turbativa del ransomware e il ritorno sull’investimento diminuiscono man mano che lo stesso finisce sui canali di scansione pubblici come VirusTotal.

Come tutti coloro che gestiscono un’attività decisamente redditizia, i cibercriminali devono trovare sempre nuovi metodi per realizzare i loro obiettivi finanziari. Il cryptojacking viene utilizzato esattamente per tale scopo.

Ad aprile del 2018 SonicWall ha iniziato a tenere sotto controllo le tendenze del cryptojacking, soprattutto l’uso di Coinhive nel malware. Nel corso dell’anno abbiamo visto che il cryptojacking ha avuto alti e bassi. Durante tale periodo SonicWall ha registrato circa 60 milioni di attacchi di cryptojacking, di cui 13,1 milioni nel solo mese di settembre 2018. Come è stato pubblicato nel Rapporto SonicWall 2019 sulle ciberminacce, il volume degli attacchi è calato nell’ultimo trimestre del 2018.

Attacchi di cryptojacking a livello globale da aprile a settembre del 2018

L’attrattiva del cryptomining

Le operazioni di cryptomining sono diventate sempre più diffuse, tanto da rappresentare circa la metà dei consumi mondiali di energia elettrica. Nonostante le notevoli oscillazioni di prezzo, circa il 60% del costo delle attività legittime di mining dei bitcoin è costituito dalla bolletta energetica. In effetti, al momento della redazione di queste, il prezzo di un bitcoin è inferiore al costo delle sue legittime attività di mining.

Con simili costi e rischi zero rispetto a dover acquistare e mantenere le apparecchiature, i cibercriminali sono fortemente incentivati a generare criptovalute utilizzando risorse altrui. Infettare 10 macchine con un cryptominer può produrre guadagni netti fino a 100 dollari al giorno, per cui la sfida per i cryptojacker è triplice:

  1. Individuare gli obiettivi, vale a dire organizzazioni che dispongono di numerosi dispositivi sulla stessa rete, soprattutto scuole e università.
  2. Infettare il maggior numero di macchine possibile.
  3. Restare nascosti più a lungo possibile (diversamente dal ransomware, con modalità più simili al malware tradizionale).

I cryptojacker utilizzano tecniche simili a quelle del malware per intrufolarsi negli endpoint: download drive-by, campagne di phishing, sfruttamento delle vulnerabilità dei browser e plugin dei browser, per citarne solo qualcuno. E, ovviamente, fanno affidamento sull’anello debole della catena, le persone, sfruttando tecniche di social engineering.

Come si fa a sapere se si è vittime dei cryptominer?

I cryptominer sono interessati a sfruttare la potenza di elaborazione delle loro vittime ed i cryptojacker devono trovare il giusto equilibrio tra anonimato e profitti. Di quante risorse della vostra CPU si impossesseranno dipende dai loro obiettivi.

Se sottraggono meno potenza diventa più difficile per gli utenti ignari accorgersi di loro. Rubarne di più fa crescere i prodotti. In entrambi i casi le prestazioni ne risentono, ma se la soglia è abbastanza bassa potrebbe essere difficile distinguere tra un miner e un software legittimo.

Gli amministratori aziendali possono tenere conto dei processi sconosciuti nei loro ambienti, mentre gli utenti finali in Windows dovrebbero far girare un Sysinternals Process Explorer per vedere che cosa c’è in esecuzione. Per la stessa ragione gli utenti Linux e macOS dovrebbero tenere sotto controllo rispettivamente l’uso del System Monitor e dell’Activity Monitor.

Come difendersi dai cryptominer

Il primo passo per difendersi dai cryptominer consiste nel bloccare questo tipo di malware sul gateway, tramite firewall o email security (sicurezza perimetrale), che è uno dei metodi più efficaci per sventare le minacce note basate su file.

Poiché si tende a riutilizzare vecchio codice, un altro primo semplice passo consisteva anche nello stanare cryptojacker come Coinhive. Ma a febbraio del 2019, Coinhive ha reso noto pubblicamente che avrebbe cessato l’attività l’8 marzo. I responsabili hanno dichiarato che “non era più conveniente economicamente” continuare il servizio e che l’attività aveva fortemente risentito del crollo delle criptovalute.

Nonostante ciò, SonicWall prevede che vi saranno sempre nuove varianti e nuove tecniche di cryptojacking per colmare il vuoto. Il cryptojacking potrebbe ancora diventare uno dei metodi preferiti per i cibercriminali per il fatto di essere nascosto; i danni limitati e indiretti per le vittime ne diminuiscono la possibilità di essere scoperto e prolungano il tempo durante il quale gli attacchi andati a buon fine producono benefìci.

Se il ceppo del malware è sconosciuto (nuovo o aggiornato), è in grado di superare i filtri statici del perimetro di sicurezza. Se un file è sconosciuto, viene reindirizzato ad una sandbox per la verifica della sua natura.

L’ambiente sandbox Capture Advanced Threat Protection (ATP) multi-engine di SonicWall è stato progettato espressamente per identificare e bloccare malware evasivo in grado di ingannare un engine ma non gli altri.

Se un endpoint non si trova dietro a questa configurazione tipica (ad esempio, se sta effettuando il roaming all’aeroporto o in albergo), si deve installare un prodotto di sicurezza endpoint che comprende la funzione di rilevamento comportamentale.

I cryptominer possono agire nei browser o essere consegnati tramite attacchi senza file, per cui le soluzioni tradizionali preinstallate sui computer non sono in gradi di vederli.

Gli antivirus di tipo comportamentale come SonicWall Capture Client sono in grado di rilevare se il sistema intende effettuare il mining delle valute e quindi interrompere il funzionamento. Gli amministratori possono facilmente mettere in quarantena e cancellare il malware o, se si tratta di qualcosa in grado di danneggiare i file di sistema, riportare quest’ultimo all’ultima configurazione funzionante prima che venisse eseguito il malware.

Abbinando tutta una serie di difese perimetrali all’analisi comportamentale le organizzazioni possono contrastare le nuove forme di malware, indipendentemente da quelle che sono le loro tendenze o finalità.

Brook Chelmo on Twitter
Brook Chelmo
Sr Product Marketing Manager | SonicWall
Brook handles all product marketing responsibilities for SonicWall security services and serves as SonicWall’s ransomware tsar. Fascinated in the growth of consumer internet, Brook dabbled in grey-hat hacking in the mid to late 90’s while also working and volunteering in many non-profit organizations. After spending the better part of a decade adventuring and supporting organizations around the globe, he ventured into the evolving world of storage and security. He serves humanity by teaching security best practices, promoting and developing technology.
0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply