Che cos'è il Cryptojacking?

Con il valore delle criptovalute in continua ascesa, i cybercriminali hanno iniziato ad usare i malware in un modo nuovo: per sottrarre criptovaluta agli utenti. Il cryptojacking consiste nello sfruttare i computer e dispositivi mobili degli utenti per generare criptovaluta per i cybercriminali. Ciò avviene per mezzo di malware di cryptojacking che funzionano da processi in background sottraendo risorse hardware a danno dell’utente.

Generare criptovaluta, richiede un alto dispendio di risorse hardware per processare l'enorme mole di calcoli necessaria per verificare e aggiungere alla blockchain le transazioni tra gli utenti. Maggiori risorse hardware si hanno a disposizione sul proprio computer, maggiori quantità di criptovaluta è possibile generare.

Il cryptojacking sfrutta il processo di estrazione delle criptovalute, ovvero il “mining”. I miner competono l'un l'altro, cercando di arrivare per primi nella risoluzione dei calcoli necessari per la verifica delle transazioni. Colui che per primo riesce a completare il calcolo riceve criptovaluta, ed il valore viene aggiunto alla blockchain. La blockchain è un registro che accoda blocchi a una catena man mano che gli utenti generano nuova criptovaluta, la spendono, e la scambiano. La tecnologia blockchain è una lunga catena di dati utilizzata per tracciare la criptovaluta e per determinare chi la detiene e quanto vale.

Come funziona il mining di criptovalute?

Per essere i primi a risolvere le operazioni di calcolo, i miner hanno bisogno di potenti risorse di calcolo. Prima che divenissero così popolari, un utente con un semplice PC domestico, dotato di una potente scheda grafica era in grado di minare criptovaluta, ma oggi sono necessarie vere e proprie mining farm per poter estrarre una quantità di criptovaluta sufficiente per ripagare i miner degli investimenti in termini di tempo e costi di energia elettrica per alimentare la strumentazione hardware.

Malware Cryptojacking

Un modo legittimo di minare criptovaluta è utilizzando una computer farm tra diversi gruppi di persone, condividendo poi i guadagni. In un attacco cryptojacking, l'attaccante utilizza malware o pagine JavaScript malevole per sfruttare i computer degli altri al fine di estrarre criptovaluta per sé. Una volta installato sul computer della vittima, il malware cryptojacking inizierà ad estrarre criptovaluta di nascosto trasferendola sul conto dell'attaccante. Questo tipo di malware sono molto più efficaci e persistenti rispetto agli attacchi JavaScript, in quanto, per impedire loro di continuare a minare criptovaluta, richiedono la completa rimozione dal computer da parte dell’utente.

Gli attacchi JavaScript sfruttano invece le risorse del computer degli utenti che si collegano a una determinata pagina web malevola. Una volta chiusa la pagina, le risorse hardware vengono liberate.

Con i malware invece gli attaccanti utilizzano spesso keylogger e clipboard sniffer per ottenere la chiave privata delle vittime. La chiave privata è simile a una password che permette l'accesso al portafoglio elettronico dell'utente. Una volta ottenuta la chiave, i cybercriminali possono prosciugare il conto della vittima trasferendo criptovaluta sui propri conti elettronici. Questo tipo di attacchi possono costare milioni in criptovaluta, se gli utenti non sono adeguatamente protetti.

I malware cryptojacking più evoluti, sono in grado di regolare il consumo di risorse, arrivando ad abbassarlo al minimo per evitare di essere rilevati, tuttavia, la maggior parte dei cybercriminali preferisce sfruttare quante più risorse possibile sui computer delle vittime, finché non vengono rimossi. Se il vostro computer presenta alti livelli di utilizzo della CPU e della memoria, con pochi software in esecuzione in background, potreste essere vittima di cryptojacking.

Test per rilevare cryptojacking

Picchi elevati nell'utilizzo delle risorse rallentano il computer e influenzano le performance del vostro computer. Tramite lo strumento Windows Task Manager sarete in grado di monitorare l'utilizzo di risorse ed effettuare un rapido test per rilevare un eventuale attacco di cryptojacking. Cliccate col tasto destro sulla taskbar e aprite il Task Manager. Cliccate quindi il tab “Performance”.

Nell'immagine sopra, è mostrato l'utilizzo della CPU. Un picco del 90%, nonostante i pochi programmi in esecuzione, sarebbe potuto essere un segno che un malware stesse lavorando in background. Anche per i picchi di memoria ed il surriscaldamento potrebbero essere un altro segnale rivelatore di cryptojacking.

Per i malware cryptojacking conosciuti, i software antivirus sono in grado di rilevarli prima che il malware vada in esecuzione sul computer. Gli antimalware sono diventati sempre più efficaci inoltre nel rilevare pagine web malevole, incluse quelle che contengono codice JavaScript per attacchi cryptojacking.

Gli attacchi di cryptojacking non sono più così comuni come lo erano al momento dell'esplosione delle criptovalute. I cybercriminali più astuti puntavano ad infettare con cryptojacker siti web popolari, in quanto più è alto il numero di utenti che visitano il sito, più risorse a disposizione si possono sfruttare illecitamente. Nel 2017, i ricercatori hanno scoperto che Showtime, un sito online di video streaming era infetto con malware cryptojacking. Nel Febbraio 2018, i ricercatori hanno invece scovato malware cryptojacking sul sito del Los Angeles Time.

La quantità di denaro generata dal cryptojacking è sconosciuta, ma stimata dagli esperti nell'ordine dei milioni di dollari. Nel 2018, i ricercatori hanno stimato che la botnet di cryptomining Smominru fu in grado di generare 3,6 milioni di dollari in criptovalute, infettando approssimativamente 500.000 dispositivi.

Il furto di credenziali è un metodo comune per avere accesso ai sistemi e installare processi che sottraggono criptovaluta in background. Il malware PowerGhost ruba le credenziali Windows, servendosi poi dell'exploit EternalBlue per diffondersi ad altri sistemi Windows. Una volta nel sistema, tenta poi di disabilitare il software antivirus, ed ogni altro software di cryptomining concorrente eventualmente già presente nel dispositivo.

I malware cryptojacking più comuni

Il worm cryptominer Graboid, si diffonde tramite i container Docker accessibili online senza autenticazione. Dopo di che, si serve delle risorse del Docker per minare criptovaluta. Si stima che Graboid abbia infettato oltre 2000 container Docker.

I malware cryptojacking più evoluti si auto regolano nel consumo di risorse. Il MinerGate ad esempio è programmato per disattivarsi nel momento in cui l'utente risulta attivo sul proprio computer. Così facendo, è più difficile che gli utenti sospettino di avere un malware installato sul sistema, assicurando così al MinerGate una lunga permanenza nei PC delle vittime.

Utilizzando i repository GitHub open-source, i cybercriminali iniettano codice cryptojacking all'interno di software popolari. L'attaccante effettua il fork del software, nel tentativo di far sembrare che è stata fatta una modifica legittimata ad un repository. Per aggiungere un cryptojacking bastano soltanto poche linee di codice. Quando gli utenti scaricano la nuova versione del software, il malware si diffonderà attraverso migliaia di potenziali computer, compresi server aziendali con ampie risorse di calcolo a disposizione.

Il modo più efficace per evitare il cryptojacking è quello di evitare di installare software poco sicuri sul proprio dispositivo. Se vi capita di scaricare file eseguibili sospetti, un buon antivirus dovrebbe già impedire al malware di andare in esecuzione. Purtroppo ciò non vale per tutti i cryptojacking. I malware zero-day sono programmati per evitare il rilevamento e disabilitare anche l'antivirus ed impedire così di venir rimossi.

Nelle reti aziendali, può essere monitorato il traffico in uscita, rilevando le anomalie all’interno della rete. Tramite i firewall si può bloccare il traffico in uscita nel momento in cui il malware tenta di collegarsi con server esterni. Quando viene rilevato traffico sospetto, i software di monitoraggio dovrebbero inviare una notifica agli amministratori per controllare possibili data breach.

Sulle pagine web che contengono cryptojacking invece, è sufficiente chiudere la pagina per risolvere il problema. L'utilizzo delle risorse hardware ha un picco durante la navigazione su pagine infette da codice cryptojacking, portando in certi casi il computer in crash. Tuttavia basterà chiudere la pagina che causa il picco di risorse per bloccare il malware, e far tornare alla normalità i livelli di risorse in uso nel sistema.