/ Cos'è il cryptojacking?
Cos'è il cryptojacking?
Il cryptojacking è un tipo di attacco informatico in cui un criminale informatico prende il controllo di un computer o di un dispositivo mobile e utilizza la relativa potenza di calcolo per estrarre criptovaluta, come ad esempio i bitcoin. Il malware di cryptojacking è difficile da rilevare e può comportare gravi conseguenze per le organizzazioni, come il rallentamento delle prestazioni, l'aumento dei costi dell'elettricità e danni all'hardware dovuti al surriscaldamento.
Come funziona il cryptojacking?
Il cryptojacking utilizza i malware o codice dannoso per impossessarsi della potenza di calcolo dei dispositivi delle vittime (laptop, computer desktop, smartphone ecc.) e utilizzarla per il mining, ossia per estrarre criptovaluta.
Diamo un'occhiata allo svolgimento di un attacco di cryptojacking.
- Consegna/infezione: gli aggressori molto spesso riescono a eseguire il codice di cryptomining sul dispositivo delle vittime attraverso truffe di ingegneria sociale come il phishing, pagine web dannose e così via. I siti web e i servizi cloud compromessi attraverso il codice di cryptomining riescono a sottrarre furtivamente la potenza di calcolo degli utenti durante la connessione di questi ultimi.
- Esecuzione: gli script di cryptomining vengono eseguiti su un dispositivo compromesso utilizzando la sua CPU o GPU per risolvere complessi enigmi crittografici. Il dispositivo diventa spesso parte di una botnet che combina la potenza di calcolo di molti diversi endpoint infetti per offrire al miner un vantaggio nella corsa alla blockchain.
- Profitto: il miner che, grazie alle proprie attività computazionali (legali o meno), riesce per primo a risolvere l'enigma crittografico riceve una "block reward", ossia una quota di criptovaluta che viene inviata al suo portafoglio digitale. Le vittime del cryptojacking non ricevono alcuna ricompensa, anzi, su di essere gravano indirettamente i costi.
A differenza del ransomware, che richiama l'attenzione proprio per la sua strategia di attacco, il software di cryptojacking funziona nel modo più silenzioso possibile, in modo da aumentare la durata e la redditività dell'attacco. Per evitare di destare sospetti, può utilizzare tecniche di crittografia e anti-analisi al fine di eludere le soluzioni di rilevamento delle minacce informatiche di base, limitare o sospendere l'utilizzo della CPU a seconda dell'attività dell'utente e altro.
Cos'è la criptovaluta?
La criptovaluta è una valuta digitale costruita su un registro digitale decentralizzato chiamato blockchain su cui tutte le transazioni sono collegate crittograficamente, caratteristica che la rende altamente stabile e sicura. Sebbene abbia anche molti usi legittimi, gli hacker la apprezzano in modo particolare, perché può essere oggetto di transazioni senza il bisogno di un'identità reale.
La criptovaluta viene creata tramite il cryptomining, che richiede l'uso di grandi quantità di risorse di calcolo per risolvere complessi problemi matematici che convalidano le transazioni sulla blockchain e creano nuovi blocchi. Quando un miner riesce a trovare la soluzione agli enigmi, gli viene assegnata la valuta appena "coniata".
Quali sono le fonti dei malware di cryptojacking?
l malware di cryptojacking sono molto simili alle altre tipologie di malware per quanto riguarda i contesti in cui possono manifestarsi. Nella maggior parte dei casi, possono essere trovati in relazione a:
- Siti web, plug-in o estensioni del browser compromessi in cui è stato inserito codice dannoso
- Mining basato su browser o "drive-by" su siti web non altrimenti dannosi
- Download dannosi camuffati da software innocui, in particolare app o torrent gratuiti
- E-mail di phishing contenenti allegati infetti o che indirizzano a siti web dannosi
- Annunci dannosi contenenti script di cryptojacking che vengono eseguiti in fase di selezione o visualizzazione
Qual è l'impatto dei malware di cryptojacking sulla tua azienda?
A livello organizzativo, il costo giornaliero del cryptojacking potrebbe non destare troppe preoccupazioni. Tuttavia, l'importo può rapidamente arrivare a centinaia o addirittura migliaia di dollari al mese, per non parlare della possibilità di subire altri danni, come:
- Riduzione delle prestazioni di sistema, che può frustrare e rallentare gli utenti, incidendo sulla produttività
- Bollette e consumi energetici più elevati, che possono incidere negativamente sui profitti e andare contro gli obiettivi ambientali
- Danni all'hardware, che possono creare costi imprevisti per la manutenzione e la sostituzione
Esempi di cryptojacking nel mondo reale
Nonostante i rischi, nessun attacco di cryptojacking ha raggiunto i livelli di notorietà globale degli attacchi alla catena di approvvigionamento, dei ransomware come WannaCry o dell'attacco a SolarWinds. La differenza rispetto a questi attacchi è il modo silenzioso ed elusivo in cui opera il cryptojacking, che è anche ciò che lo rende particolarmente pericoloso. Diamo un'occhiata ad alcuni esempi.
Smominru Botnet
Dal 2017, Smominru ha infettato centinaia di migliaia di sistemi Microsoft Windows in tutto il mondo per estrarre la criptovaluta Monero. Si diffonde impiegando la forza bruta per ottenere le credenziali RDP e sfruttando le vulnerabilità dei software; inoltre, è persino in grado di eseguire ransomware, trojan e altre minacce sui sistemi compromessi.
The Pirate Bay
Nel 2018, si è scoperto che il sito di condivisione file P2P The Pirate Bay eseguiva codice JavaScript creato dall'ormai defunto servizio di cryptomining Coinhive. Lo script di cryptojacking veniva eseguito senza il consenso degli utenti e senza possibilità di disattivarlo mentre navigavano sul sito, e utilizzava la loro potenza di calcolo per estrarre Monero.
Graboid
Scoperto per la prima volta nel 2019, Graboid è un worm che sfrutta i container Docker non protetti (cioè esposti a Internet). Si diffonde dagli host compromessi ad altri container nelle loro reti e prende il controllo sulle risorse dei sistemi infetti per estrarre Monero.
Librerie di immagini open source
A partire dal 2021 circa, i ricercatori hanno notato un picco nel numero di immagini di cryptojacking nei repository open source come Docker Hub. Alla fine del 2022, la caratteristica più comune tra le immagini dannose era il codice di cryptojacking (Google Cloud Cybersecurity Action Team, 2023).
Perché si parla così tanto di Monero?
Monero è popolare nella criminalità informatica perché le sue transazioni sono anonime e non visibili pubblicamente, a differenza delle valute che utilizzano registri trasparenti, come i bitcoin.
I segnali di un attacco di cryptojacking
Gli attacchi di cryptojacking mantengono un profilo basso per prolungare l'uso non autorizzato del sistema ma, se si sa cosa cercare, è possibile identificarne le attività prima che il costo per l'organizzazione diventi troppo elevato. Durante le operazioni di mining, potresti notare:
- Problemi prestazionali come rallentamento, blocco, arresto anomalo o temperature operative più elevate
- Elevato utilizzo della CPU/GPU anche con pochissime attività in esecuzione (controlla Gestione attività di Windows o il Monitoraggio attività di macOS)
- Consumo energetico elevato o che cresce vertiginosamente senza alcuna causa legittima apparente
- Traffico di rete insolito come comunicazioni frequenti in uscita o trasferimenti di dati di grandi dimensioni verso posizioni sconosciute
- Processi sconosciuti o insoliti nascosti tra i processi in background legittimi di un sistema
Tattiche di elusione
Il malware di cryptojacking potrebbe essere in grado di modificare dinamicamente la struttura del codice, utilizzare tecniche anti-analisi e fileless e sfruttare un'infrastruttura di comando e controllo distribuita per eludere il rilevamento da parte di strumenti tradizionali come gli antivirus di base.
Come puoi rilevare e prevenire il cryptojacking?
Al di là dei comuni segnali di allarme, puoi adottare alcune semplici tecnologie e strategie che aiutano a prevenire la diffusione degli attacchi di cryptojacking nell'ambiente o a fermarli prima ancora che prendano piede.
- Istruisci gli utenti e i team sui segnali di allarme. Gli utenti potrebbero non segnalare problemi come le prestazioni scadenti se non sanno cosa possono indicare. Per il personale IT, dell'assistenza tecnica e di NetOps, la prova che si stanno verificando processi di mining non autorizzati è un elemento importante da tenere in considerazione durante le indagini e la risposta alle segnalazioni.
- Trova le prove nascoste con la caccia proattiva alle minacce. I segni più evidenti dell'attività di cryptojacking potrebbero non essere facili da identificare per i tuoi utenti. Il personale di sicurezza esperto o i threat hunter dedicati, ovvero i cacciatori di minacce, si impegnano a identificare e analizzare le anomalie comportamentali e altri sottili indicatori di compromissione associabili al cryptojacking.
- Utilizza strumenti efficaci per monitorare e bloccare il traffico di cryptomining. Il modo migliore per fermare il cryptojacking è bloccarlo sin dal principio. Per farlo, è necessaria una soluzione in grado di garantire che ogni pacchetto proveniente da qualsiasi utente, dentro o fuori dalla rete, venga ispezionato integralmente, con una capacità di ispezione TLS/SSL illimitata. Zscaler ha la soluzione giusta.
Proteggersi dal cryptojacking con Zscaler
Zscaler Internet Access™ (ZIA™), un componente fondamentale della piattaforma nativa del cloud Zscaler Zero Trust Exchange, fornisce una protezione sempre attiva contro cryptojacking, ransomware, minacce 0-day e malware sconosciuti tramite la sua suite basata sull'IA: Advanced Threat Protection.
La policy predefinita di ZIA, attiva dal momento della distribuzione, consente di bloccare automaticamente il traffico del cryptomining e di generare allerte opzionali. ZIA è in grado di rilevare il cryptomining mentre il traffico passa attraverso Zero Trust Exchange, anche quando è cifrato.
ZIA offre:
- Prevenzione inline completa. L'architettura proxy inline è l'unico modo affidabile per mettere in quarantena e bloccare i contenuti sospetti e gli attacchi su scala aziendale.
- Sandbox inline ed ML. Zscaler Sandbox utilizza l'ML integrato per eseguire l'analisi avanzata e bloccare rapidamente gli attacchi nuovi ed elusivi basati su file.
- Ispezione SSL sempre attiva. Grazie a una distribuzione completa su una piattaforma globale, puoi usufruire di un'ispezione SSL senza limitazioni che segue gli utenti all'interno e all'esterno della rete.
- L'effetto cloud di Zscaler. Sfruttiamo i dati sulle minacce provenienti dal security cloud più grande del mondo, che elabora oltre 300 miliardi di transazioni al giorno e decine di feed di minacce esterni per condividere le protezioni con tutto il mondo e in tempo reale.