Cos’è il cryptojacking, e quale impatto ha sulla vostra sicurezza informatica?
Come capire se si è vittima del cryptojacking? Scoprite come individuare le infezioni e implementare soluzioni per proteggere la vostra rete e gli endpoint.
La buona notizia è che le criptovalute sono ormai un modello affermato nel mondo della finanza globale. Sono altamente portabili, mantengono il proprio valore, sono utilizzabili per l’acquisto di prodotti e servizi e sempre più popolari tra i normali consumatori.
Possono anche essere uno strumento d’investimento conveniente, se siete abbastanza temerari. In un batter d’occhio è possibile accumulare e perdere enormi fortune a causa dell’alta volatilità che caratterizza molte criptovalute (ad es. Bitcoin, Ethereum, Cardano), con valori che a volte raggiungono livelli astronomici per poi cadere in picchiata nel giro di pochi giorni o settimane. Tuttavia ci sono modi meno rischiosi per fare soldi con le criptovalute, e uno di questi è proprio il “cryptomining.”
Cos’è il cryptomining
Il cryptomining è un processo che convalida le transazioni delle criptovalute in ledger pubblici distribuiti. Ogni transazione è collegata alla transazione precedente e a quella successiva, creando così una catena di record corredati di data e ora. Questo è essenzialmente il funzionamento di una “blockchain”.
Uno dei vantaggi del cryptomining è che chiunque può partecipare senza dover investire nella valuta. Se ad esempio decidete di effettuare il mining di Bitcoin, riceverete dei Bitcoin come compenso per tutti i blocchi di transazioni verificate che avete completato e aggiunto alla blockchain. Per elaborare un blocco di valuta ci vogliono circa 10 minuti.
Tutto quello che vi serve è un minimo di conoscenze su come collegarvi alla rete della criptovaluta, una buona connessione a internet, uno o due server decenti e una fonte di alimentazione costante. Più potenza riuscite a garantire per le vostre attività legittime di cryptomining, più saranno i blocchi che riuscirete ad elaborare e il denaro che guadagnerete.
Ma questo processo ha un inconveniente, e qui arrivano le cattive notizie. I “miner” guadagnano denaro solo se completano il processo di dati più velocemente degli altri, e purtroppo ci sono centinaia di miner che provano a elaborare lo stesso blocco simultaneamente. Per questo motivo, i miner sono alla ricerca costante di nuovi metodi per aumentare il loro hash rate (una metrica della potenza di calcolo per l’elaborazione dei blocchi). Il potenziale guadagno è proporzionale al numero di hash prodotti al secondo.
Alcune persone evitano completamente il processo legittimo e passano al “cryptojacking”.
Perché il cryptojacking è una minaccia crescente
È molto semplice: il cryptojacking è essenzialmente cryptomining, con l’unica differenza che il miner utilizza il computer di qualcun altro senza il suo permesso. Le vittime generalmente ignorano che i loro computer vengano sfruttati per questo scopo, spesso per mezzo di malware introdotti con tecniche di phishing or altri metodi illeciti.
Ad aprile del 2018 SonicWall ha iniziato a monitorare il fenomeno del cryptojacking, registrando quasi 60 milioni di attacchi di cryptojacking in un solo anno. Come descritto nel Rapporto SonicWall 2022 sul Cybercrime, i prezzi delle criptovalute sono saliti alle stelle nel 2021, con un conseguente aumento degli episodi di hacking fino a 97 milioni, vale a dire un aumento del 62% dal 2018.
A differenza del ransomware, che sfrutta la visibilità dei messaggi e delle email di phishing, i cryptojacker operano in modo invisibile dietro le quinte. L’unico modo per accorgersi che la propria rete o i dispositivi sono stati colpiti consiste nel monitorare il diagramma delle prestazioni della CPU, o notare che la ventola di un dispositivo funziona più spesso del solito.
Negli ultimi due anni abbiamo notato che i gruppi ransomware tendono a passare ad altre attività come ad esempio il cryptojacking. Un motivo apparente di questo cambiamento potrebbe essere che il ritorno sull’investimento per uno schema e un ceppo di ransomware (che in genere richiede mesi di sviluppo) diminuisce non appena viene pubblicato su feed pubblici come VirusTotal.
Come tutti coloro che gestiscono un’attività redditizia, i cybercriminali tendono a essere agili e flessibili nel loro lavoro. Di conseguenza cercano costantemente nuovi modi per raggiungere i propri obiettivi finanziari. Il cryptojacking offre l’agilità necessaria grazie alla relativa semplicità con cui può essere implementato con altre attività criminali.
Il fascino del cryptomining
Con un costo così basso e un rischio praticamente nullo, il cryptomining rappresenta un modello di business molto attraente per i cybercriminali. La maggior parte delle operazioni viene infatti automatizzata tramite il software. Tuttavia, la volatilità della criptovalute e l’aumento dei costi energetici stanno mettendo sotto pressione i miner. Nel 2018 un miner di criptovalute legittimo poteva guadagnare 100 dollari al giorno, ma oggi quel profitto si è dimezzato e continuare a operare in modo “legittimo” è molto più complesso.
Di conseguenza, secondo il Rapporto sul Cybercrime di SonicWall, il cryptojacking illegale è di nuovo in crescita. Nel primo trimestre del 2021 sono stati registrati 34,2 milioni di attacchi di cryptojacking, il numero più alto per trimestre da quando SonicWall ha iniziato a monitorare questi dati. La cosa più preoccupante è che il mese peggiore per il cryptojacking nel 2021 è stato proprio dicembre, con 13,6 milioni di attacchi rilevati. Sebbene il mese di dicembre 2021 non raggiunga i 15,5 milioni di attacchi rilevati in marzo del 2020, rappresenta comunque un secondo posto che non è il punto di partenza ottimale per il 2022.
Sono stato infettato da un malware di cryptojacking?
I cryptominer sono interessati a sfruttare la potenza di calcolo delle loro vittime, e i cryptojacker devono trovare il giusto equilibrio tra anonimato e profitti. La quantità di risorse che possono sottrarre alla vostra CPU dipende dai loro obiettivi.
Se sottraggono meno potenza diventa più difficile per gli utenti ignari accorgersi di loro, se ne rubano di più aumentano i profitti. Naturalmente ci sarà un impatto sulle prestazioni in entrambi i casi, ma se la soglia è abbastanza bassa potrebbe essere difficile distinguere un miner da un software legittimo.
Gli amministratori aziendali possono monitorare i processi sconosciuti nei loro ambienti, mentre gli utenti finali che utilizzano il software di Windows dovrebbero avviare Process Explorer di Sysinternals per vedere quali processi sono in esecuzione. Allo stesso modo, gli utenti Linux e macOS dovrebbero utilizzare rispettivamente System Monitor e Monitoraggio Attività per tenere sotto controllo i loro sistemi.
Come difendersi dai cryptojacker
Il primo passo per difendersi dai cryptominer consiste nel bloccare questo tipo di malware a livello del gateway tramite firewall o soluzioni di email security (sicurezza perimetrale), che è uno dei metodi più efficaci per contrastare le minacce note basate su file.
Poiché le persone tendono a riutilizzare vecchio codice, scoprire i cryptojacker è relativamente semplice. Tuttavia SonicWall prevede un aumento di nuove varianti e tecniche di cryptojacking, dato che i cryptojacker hanno tempo per sviluppare nuovi strumenti. Inoltre, il cryptojacking potrebbe diventare uno dei metodi preferiti dai cybercriminali per il fatto che agisce di nascosto; i danni limitati e indiretti per le vittime ne diminuiscono la possibilità di essere scoperto e prolungano la sua durata utile in caso di successo.
Se il ceppo del malware è sconosciuto (nuovo o aggiornato), è in grado di superare i filtri statici del perimetro di sicurezza. Se un file è sconosciuto, viene reindirizzato a una sandbox per verificarne la sua natura.
Il servizio multi-engine Capture Advanced Threat Protection (ATP) di SonicWall con l’ispezione in tempo reale (RTDMI)™ si è dimostrato altamente efficace nel prevenire il malware evasivo in grado di ingannare un engine ma non gli altri.
Se un endpoint non è protetto da questa configurazione tipica (ad es. in caso di roaming all’aeroporto o in hotel), è necessario installare un prodotto di sicurezza degli endpoint dotato di funzionalità di rilevamento comportamentale.
I cryptominer possono agire nei browser o infiltrarsi tramite un attacco fileless, cioè senza l’uso di file, per cui le soluzioni tradizionali preinstallate sui computer non sono in grado di vederli.
Le soluzioni di cybersecurity di tipo comportamentale come Capture Client ATP sono in grado di rilevare il malware che consente il cryptomining e di interromperne il funzionamento. A quel punto un amministratore può facilmente mettere in quarantena ed eliminare il malware o, se un attacco ha danneggiato i file di sistema, può ripristinare l’ultima configurazione di sistema funzionante prima che venisse eseguito il malware.
Combinando una serie di difese perimetrali e analisi comportamentali le aziende possono contrastare le nuove forme di malware, indipendentemente dalle loro effettive tendenze o finalità.
This post is also available in: Inglese Francese Tedesco Spagnolo