Cryptojacking

Il mining di criptovalute come Monero (XMR) o Ethereum (ETH) richiede una grande potenza di calcolo e consuma enormi quantità di energia elettrica. Per evitare questi costi, i cybercriminali utilizzano il cryptojacking per sfruttare la potenza di calcolo dei sistemi delle vittime. Tra le ragioni più comuni troviamo:

• Guadagno facile: per i cybercriminali è un’attività molto redditizia e con pochissimo rischio.
• Diffusione massiccia: può essere eseguito su milioni di dispositivi usando semplici script.
• Difficoltà di rilevamento: non attiva avvisi e non richiede alcuna interazione da parte della vittima, quindi può passare inosservato per mesi.
• Costo zero per il cybercriminale: non è necessario investire in hardware costoso né pagare bollette dell'elettricità.

Gli attacchi di cryptojacking usano diversi metodi per infettare il dispositivo della vittima:

• Navigazione web (cryptojacking sul browser): attraverso uno script inserito in una pagina web, il browser inizia a minare senza permesso, finché la sessione rimane aperta. Questo metodo viene anche chiamato "cryptojacking senza file".
• Malware: esistono programmi che contengono stringhe di codice per fare mining di criptovalute di nascosto.
• Email di phishing: i criminali possono diffondere programmi di mining attraverso gli allegati di email fraudolente.
• Vulnerabilità non risolte: i dispositivi non aggiornati sono più facili da violare.
• Attacchi alla supply chain: i cybercriminali possono inserirsi nei canali di distribuzione e infettare software autentici con miner nascosti.

Vediamo i segnali che possono indicare un attacco di cryptojacking in corso:

• Attività stranamente elevata di CPU o GPU, senza l'esecuzione di programmi pesanti.
• Surriscaldamento del dispositivo, anche a riposo.
• Prestazioni ridotte o frequenti crash del sistema.
• Aumento della bolletta dell'elettricità (soprattutto nel caso di aziende o infrastrutture di server).
• Elevato consumo della batteria nei dispositivi mobili.

I metodi si sono evoluti nel tempo e oggi troviamo diversi tipi di cryptojacking:

1. Basato sul browser (in-browser mining)

Utilizza codice JavaScript che esegue il mining quando l'utente visita una pagina web. Si disattiva alla chiusura della scheda, ma può rimanere attivo se vengono impiegate tecniche particolari.

2. Malware residente (con file binario eseguibile)

Si installa nel sistema e viene eseguito come un processo in background, anche dopo il riavvio del computer. Di solito si camuffa da software legittimo.

3. Senza file

Usa strumenti interni come PowerShell per eseguire il codice direttamente nella memoria RAM, senza lasciare tracce né file nell'hard disk.

4. Mining nel cloud o basato su server

I cybercriminali possono violare account cloud, come quelli di Amazon Web Services o Microsoft Azure, ed eseguire attività di mining su larga scala, con costi elevati per l’infrastruttura.

5. Attacchi alla supply chain

I criminali modificano un software legittimo in fase di distribuzione e includono un codice di mining nascosto, che viene eseguito su migliaia di dispositivi simultaneamente.

Anche se non serve per rubare direttamente i dati delle vittime, i suoi effetti possono essere molto gravi:

• Calo delle prestazioni: le risorse del sistema vengono utilizzate e consumate di nascosto.
• Accorciamento della vita utile dell'hardware: il surriscaldamento continuo rovina i processori e la batteria.
• Costi finanziari: le aziende con infrastrutture compromesse possono subire grosse perdite a causa del consumo elettrico.
• Maggior rischio di subire altre infezioni: un sistema compromesso può essere un punto di accesso per altri tipi di malware.

Vediamo alcuni consigli per proteggere i tuoi dispositivi dal cryptojacking:

• Installa un buon antivirus: usa Panda Dome per rilevare script di mining e bloccare file eseguibili dannosi in tempo reale.
• Mantieni aggiornato il sistema: attiva gli aggiornamenti automatici per installare le patch di sicurezza non appena vengono rilasciate.
• Usa un blocco degli script: esistono estensioni come NoScript o uBlock Origin che ti aiutano a bloccare gli script sospetti nel browser.
• Controlla le prestazioni: tieni d’occhio l'uso di CPU e GPU con la Gestione attività di Windows o un programma di monitoraggio specifico.
• Proteggi l'infrastruttura cloud: usa l'autenticazione multifattoriale, i limiti di utilizzo e gli avvisi per i servizi come AWS o Azure.