Quando abbiamo parlato a fine 2017 di ciò che ci avrebbe riservato il nuovo anno, avevamo previsto che i ransomware (che avevano fatto razzie nel 2017) sarebbero stati soppiantati da nuove minacce sofisticate come i miner di criptomonete. Un nostro recente studio ha dimostrato che i miner non solo sono stati all’altezza delle nostre aspettative, ma le hanno di gran lunga superate.
Durante gli ultimi sei mesi, i cybercriminali hanno “racimolato” oltre 7 milioni di dollari grazie ai cryptominer. In questo articolo vi spiegheremo come funzionano i miner sui computer degli utenti, perché sono diventati una minaccia così ingombrante (soprattutto per le aziende) e come proteggere le infrastrutture.
L’ascesa dei miner
Nel 2017, quando i tassi di cambio di Bitcoin e altcoin (le criptomonete alternative) sono arrivati alle stelle, è diventato subito chiaro possedere token (che si possono convertire in denaro vero e proprio) poteva essere un business redditizio. Una caratteristica particolarmente attraente dell’economia delle criptomonete è che, a differenza del denaro vero, chiunque può creare una moneta digitale costruendo una blockchain mediante calcoli matematici e ottenere dei guadagni per questo (qui troverete maggiori dettagli sul funzionamento della blockchain).
Una regola generale dei pool di mining (organizzazioni di miner) è che più calcoli si fanno, più token si ricevono. L’unico problema è che maggiori sono i calcoli che si vogliono eseguire, maggiore è la potenza computazionale necessaria e, di conseguenza, maggiore è il consumo di elettricità.
I cybercriminali hanno presto deciso di sfruttare i computer di altre persone per effettuare il miming di criptomonete (dopotutto approfittare delle tecnologie Internet è nel loro DNA). E fanno in modo che in teoria i proprietari o gli amministratori dei dispositivi non si accorgano di ciò che sta accadendo; per ovvie ragioni, i cybercriminali sono particolarmente interessati alle reti di grandi aziende che contano all’attivo centinaia di dispositivi.
E si stanno adattando facilmente a mettere in pratica i loro piani. Oltre 2,7 milioni di utenti nel mondo sono stati attaccati da “miner dannosi” (1,5 volte in più rispetto al 2016) e questa cifra continuerà ad aumentare. Ma vediamo in dettaglio in cosa consiste questa tecnologia.
Una minaccia che rimane nell’ombra
Il primo metodo che si impiega si rifà alle tecnologie impiegate negli attacchi APT, soprattutto nelle maxi campagne di diffusione di ransomware. Queste stesse tecniche (come nel caso degli attacchi che sfruttavano il pericoloso exploit EternalBlue) vengono ora utilizzare per diffondere i miner occulti.
Un altro modo per installare un miner occulto nel computer di una vittima è convincendo l’utente a scaricare un dropper, che a sua volta scarica il miner. Di solito, i cybercriminali convincono gli utenti a scaricare un dropper perché assume le sembianze di un annuncio pubblicitario o di una versione gratuita di un software, oppure mediante tecniche di phishing.
Dopo essere stato scaricato, il dropper si attiva sul computer e installa il vero miner insieme a una utility che lo rende occulto. Il pacchetto più includere tool di avvio automatico e di autoconfigurazione che, ad esempio, definiscono quanta potenza del processore può utilizzare il miner a seconda degli altri programmi in funzionamento, per evitare che l’utente si insospettisca.
Tra l’altro, questi strumenti impediscono all’utente di bloccare il miner. Se l’utente si accorge della presenza del miner e prova a disattivarlo, il computer si riavvia e, dopo di ciò, il miner continua a svolgere la sua opera nell’ombra. È curioso, molto miner occulti riutilizzano il codice della loro legittima controparte, il che rende più difficile la loro identificazione.
Un terzo modo per effettuare il mining illegale di token è il mining Web, o mining attraverso il browser. L’amministratore di un sito può inserire uno script di mining nel browser che la vittima utilizza quando visita un determinato sito. Ciò può avvenire anche quando il cybercriminale riesce a ottenere gli accessi di amministratore di un sito. Durante il tempo in cui l’utente si trova sul sito in questione, il computer costruisce blocchi da cui traggono profitti i cybercriminali.
In che modo le aziende possono difendersi dai miner?
Grazie a queste tecnologie così complesse e così difficili da individuare, i cybercriminali riescono a creare botnet con i computer delle vittime per il mining occulto. Ovviamente, un’azienda dalle grandi capacità computazionali (con molti dispositivi all’attivo) rappresenta un obiettivo succulento per i cybercriminali. Anche i computer della vostra azienda possono essere a rischio; per questo vi consigliamo di implementare le seguenti misure di protezione:
- Installate soluzioni di sicurezza su tutti i computer e i server in uso per assicurarvi che le vostre infrastrutture non vengano coinvolte in attacchi;
- Eseguite regolarmente audit e revisioni della rete aziendale per individuare immediatamente eventuali anomalie;
- Date un’occhiata ogni tanto all’utilità di pianificazione, che può essere impiegata dai cybercriminali per le loro operazioni dannose;
- Non tralasciate obiettivi che potrebbero sembrarvi meno ovvi, come i sistemi di gestione deii file, i terminali di pagamento e i distributori automatici. Come è stato dimostrato dall’exploit EternalBlue, anche questi dispositivi possono essere utilizzati per il mining di criptomonete.
- Utilizzate i dispositivi più specializzati in modalità Default Deny, in questo modo sarete protetti dai miner e da altre minacce. Potete configurare la modalità Default Deny mediante Kaspersky Endpoint Security for Business.