Indice degli argomenti
Il Cryptojacking, anche chiamato bitcoin malware, è una delle minacce online più recenti, in grado di infiltrarsi nei dispositivi e di rimanerne nascosta potenzialmente per sempre.
Al contrario dei ransomware, che bloccano l’accesso al sistema per chiedere un riscatto, l’obiettivo della minaccia cryptojacking è quella di rubare le risorse di un dispositivo.
Come nella maggior parte dei casi di attacco malware, il movente resta il profitto. Ma al contrario di altre minacce, quest tecnica di attacco è pensata per rimanere completamente silente, per cui la vittima potrebbe non accorgersi di essere stata infettata anche per anni.
Le conseguenze di questo tipo di attacco sono ad ogni modo altrettanto gravi. Per quanto non venga chiesto un riscatto alla vittima e non si verifichino violazioni alla privacy, il furto di risorse rallenta enormemente tutti i processi in esecuzione, accresce il consumo di energia abusato dal dispositivo e ne riduce anche le prestazioni.
Il mining di criptovalute può essere un’attività molto redditizia, tuttavia richiede un impiego di risorse molto elevato.
Col passare degli anni, la complessità dell’attività di mining aumenta sempre più e la potenza di calcolo necessaria per far funzionare il processo è sempre maggiore. Per questo i cyber criminali ricorrono alla tecnica del cryptojacking, una modalità di attacco che sfrutta i dispositivi altrui senza che i proprietari ne siano al corrente.
Invece di dotarsi di computer potenti per l’attività di cryptomining, l’opzione diventa quella di sottrarre le risorse necessarie ad altri dispositivi (senza autorizzazione) per minare denaro digitale in segreto.
In questo modo, gli attaccanti ottengono tutti i profitti derivanti dall’attività di crypto mining distribuendo i costi sulle ignare vittime.
Si sa di cryptojacker riusciti in imprese degne di nota, scovati in hardware molto potenti come sistemi di controllo di forniture d’acqua o centri di ricerca nucleari. Ma il problema più grave rimane l’infiltrazione sui dispositivi personali dei singoli utenti. Rubando piccole quantità di risorse da molti si possono ottenere ingenti patrimoni, abbattendo anche i rischi di essere scovati.
In base a come infettano i dispositivi, possiamo distinguere due tipologie principali di cryptojacking.
- Il primo ha un funzionamento simile a quello dei classici malware.
Una volta scaricato da un link o un allegato dannoso, il codice del cryptojacking si insinua nel computer e rimane silente in background.
Ogni volta che il computer viene acceso e comincia ad operare, parte della potenza di calcolo viene sottratta dal software malevolo per minare criptovalute in favore del criminale. L’uso delle risorse senza la consapevolezza del proprietario porta ad una fine prematura del ciclo di vita del dispositivo, oltre che ad un consumo più elevato di corrente elettrica.
- Il secondo metodo con cui i cryptojacker sfruttano le risorse dei computer è basato sul browser.
Gli script dei siti web sono funzioni che restano in esecuzione dietro e quinte, godendo di un certo livello di accesso ai computer, per cui sono ideali per avviare attività all’insaputa dell’utente. Alcuni siti web provano anche ad aumentare la monetizzazione del proprio traffico chiedendo apertamente l’autorizzazione ai visitatori per minare durante la loro permanenza sul loro portale. Di solito questa tecnica viene utilizzata dai siti di gaming gratuiti: in cambio di libero intrattenimento, le risorse del computer vengono utilizzate per generare profitto fino a quando l’ospite non lascia il sito.
La maggior parte delle versioni però non si preoccupa di chiedere il permesso e resta operativa anche una volta conclusa la visita dell’utente.Si tratta generalmente di ciò che accada quando si visitano siti poco affidabili o quando si clicca erroneamente su pop-up o banner pubblicitari ingannevoli. Uno script ordina subito al computer di cominciare a minare e anche quando l’utente crede di aver chiuso tutte le finestre, una può rimanere chiusa di nascosto, generalmente sottodimensionata e nascosta dietro alla barra delle applicazioni.
Il termine criptovaluta deriva dall’unione dei termini crittografia e valuta, si tratta cioè di un denaro digitale che non esiste fisicamente.
Create come alternativa al denaro tradizionale, le criptovalute non dipendono da un’autorità centrale che ne controlla le emissioni ed il valore.
Sono infatti unità monetarie criptate e liberamente trasferibili tra i partecipanti di una rete, che le associano un reale valore monetario. Più cresce il numero di partecipanti alla rete, più aumenta il valore assunto da queste criptovalute.
Una delle prime e più conosciute criptovalute è stata proprio il Bitcoin: nato nel 2009 e diffusasi in tutto il mondo.
Nel corso degli anni ha assunto valori altalenanti ed è diventata famosa anche per la sua volatilità. Quando è stato creato aveva un valore iniziale nell’ordine dei centesimi di centesimi di dollaro, pari allo zero. Dopo diversi anni e tante fluttuazioni, il valore della moneta ha raggiunto il suo massimo storico di circa 60 mila euro nel novembre del 2021.
Nel momento esatto in cui scriviamo, il valore dell Bitcoin è di 28 mila euro per ogni moneta.
Il successo del Bitcoin ha ispirato nel corso degli anni centinaia di altre criptovalute, che funzionano in modi più o meno simili.
Le monete di criptovalute non sono altro che unità in un database, per effettuare una transazione bisogna alternarne le voci e registrare il movimento. Accade esattamente la stessa cosa nel tracciamento di denaro di un conto bancario, quando viene autorizzato un prelievo o un deposito la banca aggiorna il suo database centrale e registra l’avvenuto movimento.
La differenza sta nel fatto che le criptovalute hanno un database decentralizzato, che non è detenuto da nessuna banca e nessuno stato.
Generare sempre nuovi blocchi per il database ha un costo e questo costo non può essere sopportato da un’autorità centrale se il sistema dev’essere decentralizzato. Per questo, si risolse il problema creando un sistema che premiasse la creazione di nuovi blocchi.
Affinché un blocco possa essere registrato nel database decentralizzato occorre risolvere un complesso algoritmo matematico.
Chiunque riesce a registrare un nuovo blocco riceve una ricompensa in Bitcoin, ed proprio questa ricompensa l’obiettivo dei miner.
Per risolvere l’algoritmo occorre sfruttare potenza di calcolo e cioè impiegare grandi quantità di energia che aumenta con l’aumentare della dimensione della rete.
Oggi, con l’aumentare della complessità dei sistemi di mining sono necessari computer appositamente strutturati e addirittura intere strutture chiamate mining-pool. Via via, le persone hanno iniziato a cercare nuovi metodi per impiegare potenza di calcolo e i cracker hanno ideato un sistema per rubarla, infettando i dispositivi altrui ed utilizzandoli per creare le proprie mining-pool decentralizzate.
Se il computer viene infettato da un bitcoin malware in locale o attraverso il browser, può essere molto difficile rilevare un’intrusione.
Rilevare l’origine dell’elevato utilizzo della CPU può essere difficile visto che i processi potrebbero nascondersi o mascherarsi come qualcosa di legittimo per evitare che l’utente interrompa l’operazione.
In ogni caso, la prima cosa da fare per scoprire se il computer è infetto è controllarne le prestazioni e il consumo di risorse.
Se l’utilizzo della CPU dalla gestione attività raggiunge il 90% senza che alcun programma sia aperto, sicuramente qualcosa che non va.
Con un’infezione da cryptojacking a bordo computer, il dispositivo elabora le informazioni molto lentamente. Inoltre, la ventola di raffreddamento risulta sovraccarica e diviene estremamente rumorosa.
La temperatura stessa del dispositivo si alza, portando il case ad essere bollente. Per alcuni smartphone si è anche verificato uno sfruttamento delle risorse così elevato da surriscaldare la batteria fino quasi a deformarla.
Bisogna inoltre prestare attenzione alle prestazioni della navigazione in rete: se compaiono annunci dove non dovrebbero esserci, se il browser opera troppo lentamente o si aprono pagine sospette, probabilmente il computer potrebbe essere infetto.
Per conoscere i sintomi dell’infezione cryptojacking ecco a voi un approfondimento dedicato all’interno del nostro blog cybersecurity: I sintomi di un attacco informatico.
Una soluzione può essere quella di bloccare gli script tramite l’interruzione di JavaScript nel browser che si utilizza per la navigazione in rete, anche se questo comporterà il blocco di altre attività desiderate. Esistono anche estensioni o programmi specializzati come “minerblock” o “No Coin”, che bloccano tutte le attività di mining.
Onorato Informatica
Onorato Informatica è un’azienda specializzata in sicurezza informatica dal 2006.
La nostra azienda ha sede centrale a Mantova e uffici cyber security a Parma, Milano e Los Angeles. Se sei interessato ai nostri servizi di Vulnerability Assessment e Penetration Testing, contattateci.
- Autore articolo
- Ultimi articoli
Difendo le imprese e semplifico la vita all’IT manager con un servizio di sicurezza informatica che garantisce le attività aziendali 24 ore su 24, 7 giorni su 7.
Sono l’interlocutore ideale per le aziende di produzione industriale con più di 50 dipendenti, con responsabile informatico interno e consapevoli che la sicurezza informatica sia un valore con cui tutelano i clienti.
La volontà di proteggere imprese, dati e persone, mi ha fatto fondare Onorato Informatica, azienda con più 15 anni di attività, oltre 4500 clienti e più un milione di attacchi informatici sventati.
La passione per il mio lavoro mi porta spesso ad essere chiamato come relatore in eventi formativi sul tema della sicurezza informatica presso associazioni di imprese, di professionisti e università.
