Secondo Kaspersky Lab durante gli ultimi sei mesi i cybercriminali hanno “racimolato” oltre 7 milioni di dollari grazie ai cryptominer, fenomeno sempre più diffuso di cui abbiamo già parlato a più riprese.

Nel 2017, quando i tassi di cambio di Bitcoin e altcoin (le criptomonete alternative) sono arrivati alle stelle, è diventato subito chiaro che possedere token (che si possono convertire in denaro vero e proprio) poteva essere un business redditizio. Una caratteristica particolarmente attraente dell’economia delle criptomonete è che, a differenza del denaro vero, chiunque può creare una moneta digitale costruendo una blockchain mediante calcoli matematici e ottenere dei guadagni per questo.

Una regola generale dei pool di mining (organizzazioni di miner) è che più calcoli si fanno, più token si ricevono. L’unico problema è che maggiori sono i calcoli che si vogliono eseguire, maggiore è la potenza computazionale necessaria e, di conseguenza, maggiore è il consumo di elettricità.

I cybercriminali hanno così deciso di sfruttare i computer di altre persone per effettuare il miming di criptomonete, facendo in modo fanno che i proprietari o gli amministratori dei dispositivi non si accorgano di ciò che sta accadendo; per ovvie ragioni i cybercriminali sono particolarmente interessati alle reti di grandi aziende che contano all’attivo centinaia di dispositivi da infettare.

Lo scorso anno oltre 2,7 milioni di utenti nel mondo sono stati attaccati da cryptominer (1,5 volte in più rispetto al 2016) e questa cifra continuerà ad aumentare. Il primo metodo che si impiega si rifà alle tecnologie impiegate negli attacchi APT, soprattutto nelle maxi campagne di diffusione di ransomware. Queste stesse tecniche (come nel caso degli attacchi che sfruttavano il pericoloso exploit EternalBlue) vengono ora utilizzate per diffondere i miner occulti.

Un altro modo per installare un cryptominer nel computer di una vittima è convincendo l’utente a scaricare un dropper, che a sua volta scarica il miner. Di solito, i cybercriminali convincono gli utenti a scaricare un dropper perché assume le sembianze di un annuncio pubblicitario o di una versione gratuita di un software, oppure mediante tecniche di phishing.

cryptominer

Dopo essere stato scaricato, il dropper si attiva sul computer e installa il vero miner insieme a una utility che lo rende occulto. Il pacchetto più includere tool di avvio automatico e di autoconfigurazione che, ad esempio, definiscono quanta potenza del processore può utilizzare il miner a seconda degli altri programmi in funzionamento, proprio per evitare che il PC colpito non diventi troppo lento e l’utente si insospettisca.

Tra l’altro, questi strumenti impediscono all’utente di bloccare il miner. Se l’utente si accorge della presenza del miner e prova a disattivarlo, il computer si riavvia e il miner continua a svolgere la sua opera nell’ombra.

Un terzo modo per effettuare il mining illegale di token è il mining web. L’amministratore di un sito può inserire uno script di mining nel browser che la vittima utilizza quando visita un determinato sito. Ciò può avvenire anche quando il cybercriminale riesce a ottenere gli accessi di amministratore di un sito. Durante il tempo in cui l’utente si trova sul sito in questione, il suo computer inizia a “lavorare” per i cybercriminali.

Grazie a queste tecnologie così complesse e così difficili da individuare, i cybercriminali riescono a creare botnet con i computer delle vittime. Ovviamente un’azienda dalle grandi capacità computazionali (con molti dispositivi all’attivo) rappresenta un obiettivo succulento per i cybercriminali. Anche i computer della vostra azienda possono essere a rischio e, a questo proposito, Kaspersky Lab consiglia di implementare le seguenti misure di protezione.

– Installare soluzioni di sicurezza su tutti i computer e i server in uso per assicurarsi che le vostre infrastrutture non vengano coinvolte in attacchi.
– Eseguire regolarmente audit e revisioni della rete aziendale per individuare immediatamente eventuali anomalie.
– Controllare ogni tanto l’utility di pianificazione, che può essere impiegata dai cybercriminali per le loro operazioni dannose.
– Non tralasciare obiettivi che potrebbero sembrarvi meno ovvi, come i sistemi di gestione dei file, i terminali di pagamento e i distributori automatici. Come è stato dimostrato dall’exploit EternalBlue, anche questi dispositivi possono essere utilizzati per il mining di criptomonete.