malware crypto mining

Malware di crypto mining

Le cryptovalute non hanno confini: chiunque può inviarle sempre e ovunque, senza ritardi o addebiti aggiuntivi da parte degli intermediari.
Data la loro natura, sono più al sicuro da frodi e furti di identità poiché esse non possono essere contraffatte e le proprie informazioni sono crittografate.

Sfortunatamente, la stessa apparente redditività e convenienza delle cripto valute, queste sono ideali anche per finanziare crimini informatici, come hanno dimostrato l’acquisto di merce illegale nel dark web e le operazioni ransomware.
Riguardo a quest’ultime, la crescente popolarità delle cripto valute ha coinciso con l’incidenza di malware che infettano sistemi e dispositivi, trasformandoli in eserciti di macchine al servizio dell’attività di mining.

Il mining di criptovalute è un’attività ad alta intensità di calcolo che richiede risorse significative da processori dedicati, schede grafiche e altro hardware.

Quindi, i cyber criminali hanno deciso di unire l’utile al dilettevole sviluppando malware di cryptomining, che preoccupa utenti e aziende da pochi anni, e anche attualmente, nonostante il crollo delle cripto valute.

Sommario degli argomenti

  1. Che osa sono i crypto mining malware?
  2. La crescente preoccupazione per crypto mining malware
  3. I metodi utilizzati dai crypto mining malware
  4. Una minaccia odierna o l’ombra del passato? Il futuro dei crypto mining malware
  5. L’idea di difesa da parte di Google
  6. Come rivelare il cryptojacking nel vostro dispositivo?
  7. Come difendersi dal crypto mining malware?

Di cosa si tratta?

Il malware crypto mining conosciuto anche come cryptojacking è un attacco malware che coopta le risorse informatiche del bersaglio per estrarre criptovalute come bitcoin.

Questo malware utilizza una CPU di sistema, e talvolta una GPU, per eseguire calcoli matematici complessi che si traducono in lunghe stringhe alfanumeriche chiamate hash.

Questi calcoli servono a verificare le precedenti transazioni di cripto valuta e risolverli con successo può generare un token di valuta, come il Bitcoin stesso.

Il processo ha un duplice scopo: limitare l’importo totale della valuta creata e controllare le transazioni precedenti per prevenire le frodi, principalmente doppia spesa.

Esistono molti metodi diversi per portare il malware su un computer di destinazione, come:

  • Il codice incorporato in un sito Web;
  • Junkware e applicazioni potenzialmente indesiderate, conosciute anche come PUA.
  • Un classico attacco di phishing tramite posta elettronica, SMS e messaggi privati, contenenti malware e download da link dannosi.

Il malware installato può essere difficile da rilevare, poiché viene eseguito in background.

C’è, tuttavia, un avvertimento per i minatori criminali informatici: i dispositivi e le macchine connessi a Internet, sebbene sufficientemente veloci da elaborare i dati di rete, non hanno ampie capacità di elaborazione numerica. Per compensare questo, i malware crypto mining sono progettati per zombificare i bot, aumentandone i danni.

La crescente preoccupazione per malware crypto mining

Il malware crypto mining è relativamente nuovo, ma sta guadagnando popolarità tra le diverse cybergang.
Inizialmente, questo malware agiva tramite browser web, il metodo principale per dirottare le risorse, ma è diminuito drasticamente dopo la chiusura di Coinhive nel 2019.

Gli attacchi di malware crypto mining sono aumentati negli ultimi anni, parallelamente alla crescita del valore e dell’utilizzo delle cripto valute.

Nel 2018 la società di sicurezza informatica Check Point proclamò un rapporto affermando che in ogni parte del globo il 55% delle aziende era stato colpito da questo tipo di attacchi malware.

I metodi utilizzati da malware crypto mining

Sono scoperti numerosi tentativi di intrusione collegati al vettore di attacco di un ransomware.
Quali sono gli attacchi più preferibili?

  • Cross Site Scripting;

  • Sfruttare una vulnerabilità legata all’esecuzione di codice in modalità remota nell’Internet Information Server (IIS) di Microsoft;

  • Accesso/attacchi di forza bruta e password predefinita;

  • Exploit di overflow del buffer dei comandi;

  • Iniezione di codice arbitrario Hypertext Preprocessor (PHP);

  • SQL Injection;

  • Attacco di rifiuto del servizio;

Una minaccia ancora accessa?

Secondo un aggiornamento recente dalla società americana di cybersecurity SonicWall, i casi globali di malware crypto mining sono aumentati nel valore di 66,7 milioni di dollari, pari al 30%, nella prima metà del 2022, rispetto allo stesso periodo dell’anno precedente.

I ricercatori, tuttavia, evidenziano che nella prima metà dell’anno il volume degli attacchi di cryptojacking sia iniziato a diminuire insieme al crollo delle criptovalute. Infatti, gli attacchi iniziavano a generare meno introiti.

È stato osservato un modello di volumi significativamente più elevato nel primo trimestre, seguito da un “crollo estivo del cryptojacking” nel secondo trimestre. L’azienda ha affermato che, sulla base delle tendenze passate, anche i volumi del terzo trimestre saranno probabilmente bassi, mentre gli attacchi potrebbero riprendere nel quarto trimestre.

Il calo estivo del 2022 è stato attribuito anche al calo dei prezzi dei crypto asset del 57% da inizio anno.

Nonostante il calo, raccomandiamo di non sottovalutare mai qualsiasi attacco di malware.

L’idea di difesa dal malware crypto mining secondo Google

In risposta al cryptojacking, Google ha aggiunto un nuovo livello di sicurezza per evitare danni degli account di Google Cloud.

La società di Mountain View, collaboratrice del colosso tech, ha lanciato l’anteprima di un servizio molto utile di prevenzione, che ha lo scopo di rilevare e bloccare gli attacchi di malware crypto mining che tentano di dirottare la potenza di calcolo di una macchina per estrarre criptovalute senza che gli utenti se ne accorgano.

La nuova funzione si chiama Virtual machine threat detection (VMTD), è disponibile già da adesso per gli utenti con un abbonamento a Security Command Center Premium, ma prossimamente verrà integrata anche in altri rami di Google Cloud,

Non è richiesta l’installazione di nuovi software.

Il programma scansiona continuamente la memoria dei dispositivi, cercando campanelli d’allarme di potenziali minacce, come un utilizzo anomalo di CPU e GPU. Google spiega che “la nuova funzione, oltre che dai malware di cryptomining contribuirà alla protezione contro il furto di dati e da attacchi ransomware“.

La riservatezza di chi utilizza i suoi servizi cloud è ovviamente tutelata. Infatti, Google ha fatto sapere che Vmtd non scansionerà mai la memoria nei nodi classificati come riservati.

La funzione non è abilitata di default su Google Cloud.
Per attivarla è necessario seguire alcuni semplici passi:

  • Aprire la pagina Impostazioni in Security Command Center e

  • Fare clic su Gestisci impostazioni in Rilevamento minacce macchine virtuali.

  • Da qui è possibile selezionare un ambito per VMTD.

Per verificare che Vmtd funzioni, si può scaricare ed eseguire un esempio di prova che simula l’attività di cryptomining.

Come rivelare la presenza del cryptojacking sul vostro dispositivo?

L’obiettivo del cryptojacking è nascondersi in background il più a lungo possibile, per estrarre più risorse possibili.
Il malware è progettato per utilizzare tutta la potenza di cui ha bisogno, passando in gran parte inosservato.

Tuttavia, ci sono alcuni sintomi che segnalano il vostro computer sia stato infettato da malware crypto mining.
Alcuni esempi sono:

  • Utilizzo elevato della CPU;

  • Il dispositivo è più lento e più rumoroso;

  • Surriscaldamento;

  • La batteria si esaurisce più velocemente;

  • In caso di server farm, aumenti imprevisti delle bollette elettriche.

Non significa necessariamente che il dispositivo estragga cripto valute se riscontrate uno dei segni sopra.

La cosa migliore è eseguire un controllo del sistema utilizzando un software antivirus. La maggior parte dei programmi di sicurezza informatica è in grado di riconoscere, rilevare e mettere in quarantena i malware di cryptojacking.

Per coloro che gestiscono siti Web, possono cercare righe sospette nel codice HTML o passare a programmi che scansionano i siti Web alla ricerca di codici dannosi.

Come difendersi dal malware di cryptomining?

Fortunatamente, il cryptojacking si tratta di un altro tipo di malware.

La Cybersecurity and Infrastructure Security Agency (CISA) ha pubblicato un lungo elenco di suggerimenti per proteggere i propri dispositivi con dettagli tecnici, ma ecco le basi per evitare l’infezione da un attacco informatico di cryptojacking:

  • Installare software di protezione antivirus e malware e tienili aggiornati.

  • Usare gli ad blocker nel tuo browser.

  • Evitare i siti Web noti per l’esecuzione di script di cryptojacking.

  • Disabilitare Javascript nel tuo browser.

  • Proteggete le aree server con sistemi di sicurezza informatica.

Chi è Onorato Informatica?

Azienda specializzata in sicurezza informatica da oltre 15 anni, certificata ISO 9001 e 27001

Onorato Informatica è un’azienda informatica, specializzata in sicurezza informatica, da oltre 15 anni.
Forniamo servizi di Vulnerability Assessment e Penetration Test a oltre 4500 clienti in tutta Italia.

Ci occupiamo di Cyber Security dalle nostre sedi di Mantova, Parma, Milano e Los Angeles. Siamo un’azienda certificata ISO 9001ISO 27001 e azienda etica.

Se vuoi conoscere i servizi di sicurezza informatica e sapere come possiamo aiutarti, contattaci.

Articoli che potrebbero interessarti: