Cryptojacking, piacere (ma non troppo)

Cryptojacking, piacere (ma non troppo)

Da Malware a Mining

I criminali informatici cercano sempre nuove strade per compromettere i nostri dispositivi. La posta in gioco è ottenere un tornaconto finanziario: gli attori delle minacce  mirano all’ottimizzazione dei costi, cercando di ottenere il tornaconto più elevato con sforzo e rischio minimi.


Tipicamente il malware ha lo scopo di sottrarre informazioni confidenziali, spiare gli utenti, registrare le loro azioni o prendere il controllo dei loro dispositivi. Più sta nascosto, maggiore il danno. In molti casi, un malware può agire senza essere scoperto per settimane, mesi o addirittura anni. Un rapporto del Ponemon Institute indica che nel 2017 il un tempo di permanenza medio è stato di 191 giorni.

Negli ultimi anni, tuttavia, gli attori delle minacce hanno fatto ricorso sempre più al ransomware come opzione altamente efficace. Diversamente dal malware ‘tradizionale’, un ransomware si annuncia in modo plateale con una schermata intesa provocare paura e shock. In altre parole, è essenziale per il suo successo non rimanere nascosto.

Per gli attaccanti, il ransomware ha alcuni vantaggi fondamentali: invece di cercare compratori di informazioni sulle carte di credito sul dark web, possono riempire i loro wallet elettronici con la piccola percentuale di vittime che infettano e ciò può fruttare parecchio. Alcune campagne ransomware offrono persino la possibilità di ottenere una fattura e mettono a disposizione call center per aiutare le loro vittime ad effettuare il pagamento. Il profitto non è l’unico beneficio, comunque: i bitcoin riducono il rischio degli attaccanti perché minimizzano le interazioni.

Sembra la soluzione ideale, se non fosse per un problema di fondo: la sua efficacia infatti diminuisce non appena diventa di dominio pubblico. Se la signature di un ransomware viene rilevata due giorni dopo il suo rilascio, il ROI (return on investment) degli attaccanti può essere significativamente inferiore alle attese o del tutto marginale. Come qualunque altra attività redditizia, i criminali informatici hanno costante bisogno di trovare nuovi metodi per raggiungere i propri obiettivi di business. E qui entra in scena lui, il Cryptojacking.

L’Attrattiva Cryptomining

Le operazioni di Cryptomining sono diventate sempre più popolari con un consumo di energia elettrica pari a circa la metà di quello globale. Sebbene influenzato da brusche fluttuazioni ed attualmente tendente al ribasso, il prezzo dei Bitcoin resta superiore ai 6400 dollari nel momento in cui scriviamo.

Considerato tale valore, i criminali informatici vedono grossi incentivi a generare bitcoin ed il  cryptomining effettuato sfruttando risorse altrui – il cosiddetto Cryptojacking – è un’attività praticamente libera da rischi. Infettare 10 macchine con un Cryptominer può fruttare 100 dollari al giorno, cosicché la sfida per i Cryptojackers è duplice: in primo luogo, infettare il maggior numero di macchine possibile e, secondariamente, contrariamente al ransomware ed in modo più simile al malware tradizionale, evitare la rilevazione per il maggior tempo possibile.

Risolvere entrambi i problemi – quantità e persistenza – è più semplice se si possiede una patina di legittimità: alcuni si sono affermati come modello di business, ad esempio PirateBay. Altri pretendono persino di poter sostituire o affiancarsi all’advertisement per generare profitto dagli utenti. Persino gli sviluppatori software hanno tentato di entrare in azione. Nel marzo 2018, nell’app store di Apple  è stato possibile scaricare una versione di un’app gratuita chiamata ‘Calendar 2’ che coniava la criptovaluta Monero durante la sua esecuzione. Si riporta che abbia fruttato 2000 dollari in un paio di giorni prima che Apple la eliminasse dal suo store.

Alcuni utenti home potrebbero cercare di installare un software di cryptomining per uso personale, ma il comune hardware destinato ad un pubblico consumer non è in realtà adatto al lavoro di coniare bitcoin in modo redditizio, a meno che un gran numero di computer non venga cablato insieme: perfetto per una botnet e perfetto per dei siti web molto frequentati e nessun rimorso dovuto al fatto di sottrarre ai loro utenti corrente ed elettricità per generare profitti per i proprietari dei siti. Questa forma non voluta o inintenzionale di cryptomining è quello a cui ci riferiamo parlando di Cryptojacking.

Caratteristiche del Cryptojacking

I ‘Cryptojackers’ usano tecniche analoghe al malware per intrufolarsi in un endpoint: download incrociati, campagne di phishing, vulnerabilità e plugin dei browser, tanto per citarne alcune. Sempre, ovviamente, fanno affidamento sull’anello più debole – le persone – tramite tecniche di ingegneria sociale.

Siti web che distribuiscono miner come CoinHive possono inserire del codice JavaScript, più probabilmente nell’header o ne footer.

Il codice può specificare quante risorse CPU utilizzare sulla postazione dell’utente e persino quanti cicli  eseguire.

Come scoprire se si è stati infettati.

Questa è la parte più difficile: molto cryptominer fanno di tutto per sottrarsi alla rilevazione sia da parte dei software che degli utenti.

Impatto sulle Prestazioni: 
Come abbiamo visto, i cryptominer sono interessati alla tua potenza computazionale, e i Cryptojackers devono bilanciare segretezza e profitto. Quante risorse sottrarre è una loro scelta – la rilevazione è più difficili se la quantità di risorse è bassa, il profitto è maggiore se alta. In entrambi i casi ci sarà un impatto sulle prestazioni ma se la soglia è abbastanza bassa potrebbe essere molto arduo distingure un cryptominer da un software legittimo.

Gli amministratori di sistema possono ricercare nel loro ambiente processi ignoti e gli utenti Windows dovrebbero utilizzare Sysinternals per vedere che cosa c’è in esecuzione. Gli utenti Linux e macOS dovrebbero esaminare System Monitor e Activity Monitor per gli stessi motivi.

Attività di Rete: 
Utenti più avanzati dovrebbero essere in grado di notare un aumento del traffico di rete.

Come difendersi dai Cryptominers

Utilizza un prodotto di endpoint security, ma assicurati che sia in grado di utilizzare la rilevazione dei comportamenti. I Cryptominers possono lavorare all’interno dei browser, e pertanto una soluzione tradizionale che individua soltanto malware inserito in file sarebbe completamente cieca.

Come abbiamo visto, i vettori d’infenzione per il Cryptojacking sono simili ad altro malware per cui utilizzare una robusta soluzione di endpoint protection come SentinelOne può proteggere i tuoi endpoint dalle infezioni.

In secondo luogo, dal momento che il comportamento dei Cryptominers non è molto differente da quello di software legittimi, la rilevazione deve avvenire in modo accurato in modo da evitare falsi positivi.