Miner al centro del mirino. I primi attori della Blockchain, infatti, nascondono tra le loro file anche abili hacker che negli ultimi tempi hanno trovato un altro modo di essere remunerati per i loro attacchi alla sicurezza. Ci sono poi i casi in cui i maestri del ransomware che in fase di riscatto, nei casi in cui non riescano a estorcere criptovalute, vanno a installare un crypto-miner sui dispositivi delle loro vittime, assicurandosi che la loro azione possa portar loro almeno qualche vantaggio.
Scopri cosa può fare il Continuous Vulnerability Assessment per la tua azienda
L’infezione può iniziare con una mail di phishing (contenente un documento con l’attivazione di una macro). Non appena l’utente abilita la macro, il malware scarica uno stager senza file che vive nella memoria e non viene intercettato dai comuni antivirus.
Miner malevoli versus ransomware
I ricercatori evidenziano come il crypto-mining malevolo negli ultimi dodici mesi sia cresciuto al punto da superare addirittura il fenomeno dei ransomware. Gli analisti raccontano come nel 2018 il numero totale di utenti colpiti da miner sia cresciuto più dell’83%, superando quota 5 milioni (5.001.414 per l’esattezza). Il numero di utenti che ha riscontrato l’attacco di mobile miner è cresciuto di oltre cinque volte, passando dai 986 casi del 2017 ai 10.242 casi del 2018.
Considerando la totalità delle minacce, rispetto al 2017, la condivisione di miner rilevati nel 2018 è passata dal 5% all’8% (Fonte: Story of the Year 2018: Cryptocurrency miners – Kaspersky Lab 2018).
Miner: cosa sono e come agiscono
Per capire meglio in che modo il meccanismo virtuoso della Blockchain in termini di sicurezza, immutabilità, trasparenza e consenso distribuito possa essere scardinato bisogna capire i fondamentali. La Blockchain comporta una specie di gara: il nodo che per primo riesce a validare le transazioni creando un nuovo blocco (detto nodo di mining, o miner che, per altro, non necessariamente si conoscono tra di loro) è ricompensato con l’emissione di nuove criptovalute. Il problema è che per diventare miner serve potenza di calcolo. Se non si hanno le risorse necessarie a supportare la capacità elaborativa dell’ecosistema associato al modello del registro distribuito (distributed ledger) non si possono guadagnare criptovalute. E allora cosa può succedere? Che i cyber miner malevoli sviluppano dei software di mining-malware: installati sui computer delle vittime le quali, a loro insaputa, vengono derubate della potenza di calcolo necessaria ai miner.
Così, se è vero che l’intero valore delle criptovalute risiede nel loro potenziale di elusione e nella mancanza di vigilanza, è vero anche che adottare un sistema di controllo capace di intercettare le attività sospette su applicazioni legittime è l’unica soluzione possibile per non soccombere.
Agendo nell’ombra, infatti, i miner malevoli operano in background in maniera estremamente subdola. Dal momento che non danneggiano il dispositivo che vanno ad attaccare, senza destar sospetto, possono usufruire della potenza di calcolo dei computer che vanno a minare. L’utente più attento si accorge di essere stato hackerato solo quando riesce a rilevare impennate improvvise nei livelli di utilizzo della CPU o della RAM. Ecco perché questa forma di cryptojacking sta diventando sempre più popolare
Tipologie di crypto miner
Il cybercrime al momento ha sviluppato tre tipi di miner malevoli:
- Browser miner: non richiede l’installazione sul computer degli utenti perché nativamente Web-Based. Il codice malevolo è inserito direttamente in una pagina web infetta, attivandosi quando gli utenti atterrano sulla pagina.
- App miner: un’altra tattica utilizzata dai cyber criminali prevede l’inserimento di una componente dannosa in un’applicazione legittima.
- Upgrade miner: lo sviluppo della componente dannosa viene integrata nel pacchetto di aggiornamento distribuito a tutti gli utenti della Blockchain
Gli esperti allertano gli utenti inconsapevoli di prestare attenzione alle call to action. Nel caso dei crypto miner gli utenti vengono indotti a cliccare su bottoni che li portano a scaricare e ad installare sul proprio dispositivo un software che nasconde anche l’installer del miner. In questo caso, infatti, succede che in fase di esecuzione si avvia in automatico un processo al cui interno c’è un codice di programmazione dannoso che va a modificare il sistema. Grazie a questa modifica del codice, il miner lavora nell’ombra come se il task fosse legittimo e gli utenti faticheranno a capire di aver subito un’infezione. A questo punto il rilevamento della minaccia è pressoché impossibile anche perché i miner marcano il processo, facendo in modo da rendere difficile la sua cancellazione. Così, quando l’utente si rende conto dell’anomalia e prova a bloccare il processo, il sistema si riavvia in automatico: è in questo modo i miner prolungano la loro permanenza criminosa.
Come contrastare i crypto miner malevoli
Una gestione semplice ed efficiente delle misure di sicurezza che riguardano l’intero ciclo di vita dei dati sensibili è essenziale per l’attuazione del GDPR: dall’acquisizione alla produzione di informazioni, includendo i sistemi alla divulgazione per arrivare all’archiviazione fino alla loro distruzione. Le misure preventive devono comprendere, dunque, sia misure organizzative (separazione dei compiti, concetto di ruolo e responsabilità, gestione degli utenti e loro diritti, gestione degli accessi fisici, rintracciabilità, misurazione, controlli e verifiche, gestione degli asset e dei supporti rimovibili, istruzione e promozione della consapevolezza) che misure tecniche.
Dal momento che i crypto miner malevoli sono difficili da identificare, gli esperti sottolineano come sia molto importante adottare adeguati strumenti capaci di monitorare i processi attivi sulle reti e di controllare il traffico, andando a rilevare automaticamente eventuali falle di sistema. In una logica di endpoint protection, contro i miner non basta prestare attenzione agli aggiornamenti software su tutti i dispositivi in uso, includendo anche i dispositivi meno sospetti come, ad esempio, i sistemi di gestione delle code, i terminali POS o le soluzioni di digital signage che, avendo dietro un sistema operativo, possono facilmente essere infettati dai crypto-miner. È necessario adottare soluzioni di Continous Vulnerability Assessment che, in modalità costante, continua e puntuale tengano sotto controllo tutti gli accadimenti che avvengono sulla rete, sui sistemi e sui dispositivi. La sicurezza, infatti, è un gioco contro il tempo. La governance deve presidiare ogni nodo della rete, considerando che i regimi di controllo e di sicurezza devono includere ogni nuovo dispositivo o un nuovo sistema che viene introdotto in azienda. Ecco perché poter contare su un’unica piattaforma capace di valutare in maniera puntuale ogni evento, procedendo a identificare e segnalare ogni tipo di anomalia è fondamentale anche per contrastare i miner, garantendo così una governance a 360°
L’importanza del Continous Vulnerability Assessment
Il Continous Vulnerability Assessment (CVA) verifica quelle che sono le debolezze dei sistemi e dell’infrastruttura aziendale, dando massima visibilità a qualsiasi cosa accada alla Rete. Questo consente di predisporre nuove modalità di monitoraggio e di impostazione della reportistica fondati su una gestione reale delle vulnerabilità. Il tutto in modo allineato alla Compliance. Per saperne di più, puoi scaricare gratuitamente l’eBook “Cosa può fare il Continous Vulnerability Assessment per la tua azienda”
