Anche se molti ne avevano previsto la fine, il cryptomining è in realtà ancora vivo e vegeto e Kaspersky offre un approfondimento su come questo tipo di attacco rappresenti ancora un pericolo per le aziende. La sensazione di una sua attenuazione si era avuta in particolare dopo l’annuncio di Ethereum di voler passare dalla conferma delle transazioni tramite il metodo proof-of-work al modello proof-of-stake. Il proof-of-work richiede una grande potenza di calcolo, mentre il proof-of-stake ha bisogno di un numero significativamente inferiore di partecipanti e di risorse per confermare una transazione, essendo mille volte più efficiente dal punto di vista computazionale. L’abbandono del concetto proof-of-work, in teoria, avrebbe potuto causare un calo significativo della popolarità del mining.

Il tanto atteso passaggio è avvenuto il 15 settembre e, in parte, ha effettivamente danneggiato la popolarità del mining. Ad esempio, il prezzo delle schede video utilizzate per il mining di Etherium ha subito un calo drastico, invadendo il mercato secondario. Coloro che erano impegnati nel mining legale hanno iniziato ad occuparsi del mining di altre criptovalute o a vendere i loro sistemi di calcolo o a cercare di dargli un altro uso. Tuttavia, questo calo di attività non si applica agli hacker che praticano il mining a spese altrui.

Il fatto è che non si sono mai concentrati sul mining di Etherium, che è solo la terza moneta più popolare. Hanno invece preferito minare Monero, che garantisce il totale anonimato delle transazioni. Per produrre Monero è tuttora necessario il mining, ma non le schede video. Questa criptovaluta viene minata molto bene su CPU normali che, a differenza delle potenti GPU, sono presenti in qualsiasi computer. Quelle più potenti funzionano nei server e, naturalmente, attirano soprattutto i cybercriminali.

La minaccia del cryptomining per le aziende

Abbiamo già parlato in passato dei problemi che i miner possono causare all’utente medio tra bollette elettriche elevate e prestazioni lente causate dall’elevato utilizzo della CPU e della scheda video. Se è vero che la maggior parte degli utenti può sopportare i rallentamenti, per le aziende le minacce sono ben più gravi. Oltre a quanto già detto, il cryptomining indesiderato può infatti portare a:

  • Accelerazione dell’usura delle apparecchiature, con conseguenti guasti prematuri (anche questo vale per gli utenti privati, ma per le aziende le conseguenze sono più serie)
  • Aumento del traffico sui server aziendali che, proprio come un attacco DDOS, può mettere offline i servizi; l’indisponibilità o il funzionamento instabile dei servizi comporta perdite considerevoli
  • Aumento dei costi di manutenzione dell’infrastruttura cloud. Quando alla fine del mese Amazon, Google o Microsoft aggiungono uno zero al conto, il bilancio dell’azienda ne risente. Secondo un report di Google, nell’86% dei casi di compromissione ben riuscita di un account di Google Cloud Platform, gli hacker hanno installato dei miner. lnoltre, i costi del mining di criptovalute nell’infrastruttura cloud sono in media 53 volte superiori al guadagno, il che, ovviamente, non ferma i criminali informatici, poiché non sono loro a pagare le spese

cryptomining

Il pericolo per i provider di infrastrutture

Gli attacchi dei miner sono una seria minaccia per le aziende che non usano solo infrastrutture cloud, ma forniscono ai clienti servizi basati sul cloud di noti provider, soprattutto se forniscono servizi IaaS (Infrastructure-as-a-Service) o PaaS (Platform-as-a-Service). La differenza tra queste aziende e le altre è che devono preoccuparsi non solo dei miner dannosi che penetrano segretamente nell’infrastruttura, ma anche di quelli normali e legittimi. Se un’azienda fornisce un’infrastruttura o una piattaforma come servizio, i suoi clienti hanno certa libertà nell’utilizzo di tale infrastruttura o piattaforma; in genere possono usarla come vogliono, anche per eseguire mining.

Non è raro quindi che i criminali informatici creino diversi account su questi servizi in un colpo solo e li utilizzino per eseguire cryptomining senza permetter loro di consumare più risorse di quelle fornite dal servizio con account gratuito. Un attacco di questo tipo, che coinvolge centinaia di account, può avere un impatto mostruoso sui server, mettendo in ginocchio il servizio e aumentando in modo massiccio le spese dell’azienda a livello di infrastruttura. Inoltre, per un fornitore di infrastrutture è più difficile rilevare un attacco di questo tipo rispetto, ad esempio, a un’azienda SaaS, poiché non può sempre vedere tutti i processi eseguiti dai clienti a causa della propria politica sulla privacy.

Come proteggersi dai miner

È evidente che le aziende non possono semplicemente chiudere gli occhi di fronte alla minaccia del mining. L’ideale sarebbe prevenirlo, ma se non è possibile, è necessario individuarlo e bloccarlo il prima possibile. Secondo alcuni dati offerti da Google, la maggior parte dei casi di compromissione dei server è dovuta a password deboli e a un controllo degli accessi insufficiente. Pertanto, l’attenzione deve essere rivolta all’accesso alle risorse informatiche:

  • Impostare dappertutto password forti e uniche
  • Attivare sempre l’autenticazione a due fattori per accedere alle risorse dei fornitori cloud (se la password è stata violata o forzata con un attacco di forza bruta, gli hacker non otterranno il controllo dell’account senza il secondo fattore)
  • Limitare l’accesso alla gestione dell’infrastruttura: meno dipendenti hanno privilegi di accesso elevati, meno è probabile che l’accesso venga compromesso
  • Utilizzare soluzioni di sicurezza capaci di rilevare le attività sospette, sia sui dispositivi fisici, che sulle macchine virtuali

Inoltre, oltre a quanto sopra, i provider IaaS e PaaS dovrebbero:

  • Essere in grado di monitorare l’attività degli utenti in un modo o nell’altro; se non è possibile monitorare i processi attivi a livello di macchina virtuale (impedendo l’esecuzione di script identici da parte di utenti diversi), è bene assicurarsi almeno che non venga utilizzato uno stesso repository da più account
  • Disporre di un sistema di allerta ben calibrato e capace di rilevare le attività atipiche, nonché coinvolgere esperti in grado di rispondere rapidamente
  • Prestare maggiore attenzione alla tempestiva correzione delle vulnerabilità nel software che gestisce l’infrastruttura o la piattaforma, poiché gli hacker possono sfruttarle per penetrare e installare i miner