Negli ultimi mesi non si è parlato di altro. Una volta gli hacker utilizzavano i bitcoin per chiedere riscatti: ora invece, grazie anche alla crescita del valore di queste valute digitali, hanno scoperto un nuovo modo per fare molti più soldi. È il classico esempio di come l’hacking evolve ibridando tecniche diverse, riprese e adattate da ambiti contigui. Il sistema del Cryptocurrency mining malware, o cryptojacking, o Malicious cryptomining, sfrutta il fatto che utenti inconsapevoli, passando su siti web compromessi, senza rendersene conto scaricano malware che trasforma i propri browser in Miner di cryptovalute. Il motivo per cui l’attacco ha così tanto successo è spiegato dal fatto che le persone o i computer (secondo alcuni sarebbero i server il target ideale per il cryptojacking) che contribuiscono a generare questi profitti possono arrivare ad essere milioni. Secondo Kaspersky, almeno 2,7 milioni di persone sarebbero stati vittime di questi attacchi nel 2017, ma altre stime più recenti fanno supporre molto di più.
La tecnica utilizzata dagli hacker per l’installazione di un software dropper sui PC degli utenti è la stessa del Malvertising (“malicious advertising”) ossia l’uso dell’online advertising per la diffusione di malware. Gli hacker corrompono i network di adv pubblicitari, e i siti web, che incorporano questi video o immagini nelle proprie pagine, inavvertitamente diventano il veicolo di malware per tutti i visitatori delle proprie pagine. E’ questo il caso, che ha fatto scalpore, di YouTube: il numero di web miner Coinhive sarebbe triplicato in poco tempo a causa di una campagna di malvertising che aveva appunto colpito YouTube, o meglio, il servizio DoubleClick di Google per la distribuzione degli Adv.
Nel caso del Cryptocurrency mining, il software scaricato si attiva una volta installato producendo le valute digitali. Non necessariamente il veicolo del malware è la pubblicità: a dicembre ad esempio si è scoperto che alcuni siti contenenti video (Openload, Streamango, Rapidvideo e OnlineVideoConverter) erano stati infettati e quindi forzavano i propri utenti a diventare – senza accorgersene – miner di Monero. Il programma di mining veniva caricato nel browser quando il lettore video era scaricato per lo streaming video. Le vittime non si rendevano conto (l’unico segnale era un rallentamento della riproduzione del video) che la potenza elaborativa del loro computer era impegnata a generare Monero.
Perché questa valuta invece dei Bitcoin? perchè Monero si presta più facilmente a operazioni dietro le quinte come il cryptojacking, ha spiegato Pieter Arntz, ricercatore di malware intelligence presso Malwarebytes (“How cryptocurrency mining works: Bitcoin vs. Monero”), in quanto il mining di Monero può essere eseguito con qualsiasi CPU o GPU.
Il tema che preoccupa di più in questo momento è il guadagno elevatissimo che questa modalità di attacco porta nelle tasche degli hacker: si parla dell’equivalente di milioni di dollari per le varie operazioni di mining, che prima di essere scoperte possono andare avanti per mesi, come nei seguenti casi scoperti di recente:
- In UK si è saputo da poco che migliaia di siti web dello Stato (del servizio sanitario nazionale, NHS services, del Student Loans Company, dell’ICO – Information Commissioner’s Office, il servizio nazionale che presiede gli aspetti di Data Protection) sono stati infettati da malweare che obbliga gli utenti al mining di valute digitali.
- Il team di ricerca di Check Point ha scoperto una vasta campagna fraudolenta di estrazione della criptovaluta Monero (XMR) ai danni dei gestori di server CI (Continuous Integration) Jenkins.
- La Palo Alto Networks Unit 42 ha reso noto lo scorso gennaio di aver scoperto una vasta operazione di mining di cryptocurrency Monero basata sul tool open source XMRig, che sarebbe iniziata a ottobre, avrebbe colpito vittime per un numero superiore ai 15 milioni e avrebbe fruttato ai cybercriminali (sarebbe partita dalla Cina) oltre tre milioni di dollari in Monero.
- Un team di Microsoft (come spiegato in questo report) avrebbe invece individuato un’operazione che puntava a installare un miner in 400.000 utenti Windows – un massiccio attacco basato sul downloader Dofoil. L’attacco, second Microsoft, avrebbe avuto come obiettivo Russia, Turchia e Ucraina.
- Anche se più simile ad un attacco mirato, anche l’intrusione nell’account di Tesla sul cloud di Amazon è servito agli hacker per il mining di cryptovalutate, quindi un attacco di Cryptojacking in piena regola.
Come bloccare il Malicious Cryptomining?
In realtà non è difficile arrestare questo tipo di intrusione, che per quanto malevola, ha un impatto molto limitato, fin tanto che si limita a “rubare CPU”. Per bloccarla basta utilizzare un AD Blocker o dotare il browser di un’estensione Coin Blocker e in generale disabilitare i JavaScript sul web. Alcuni ritengono però che il rischio del Mining Malware non vada sottovalutato, perché può essere il segnale di altri problemi. Come ha dichiarato Terrance DeJesus, Threat Research Analyst di NTT Security:
“Organizations shouldn‘t ignore the threat of mining malware. The impact of an attack can go well beyond performance issues. Mining costs organizations money, impacts the environment and causes reputational damage. It could also be indicative of more problems in the network”.
Una riflessione …
Il Malicious Cryptomining così come è stato concepito, automatizzato, reso quasi “invisibile” all’utente, non è oggi solo una minaccia cyber. Possiamo anche immaginarlo come un modello del tutto nuovo di monetizzazione su Internet.
Non sono infatti solo gli hacker a far fruttare in questo modo la navigazione degli utenti sul web. Qualcuno sta pensando che il mining di cryptovaluta potrebbe essere un’alternativa efficace alle entrate pubblicitarie: il primo è stato il sito Pirate Bay (si è scoperto lo scorso ottobre che utilizzando un cryptominer in background “succhiava” potenza ai suoi visitatori). Si è scusato dicendo che stava testando un nuovo modo per finanziarsi. Poi è stato però seguito da altri: il portale Salon.com (FAQS: How does Salon make money by using my processing power?), ha dato ai suoi lettori l’opzione di scegliere tra la pubblicità tradizionale e l’utilizzo delle loro CPU per il mining di Monero. Potrebbe diventare una pratica sempre più diffusa, se gli utenti l’accettano (bisognerebbe però capire a questo punto qual è il costo dell’uso di CPU per ciascuno).
Come stanno evolvendo le minacce cyber e quali sono oggi i rischi più elevati per le aziende?
Ne parleremo durante il “CYBERSECURITY SUMMIT 2018”, organizzato da The Innovation Group il prossimo 21 marzo 2018 a Roma. Parteciperanno all’evento i migliori Esperti italiani e internazionali, tra cui:
- Sir Julian King, Commissioner for the Security Union, European Commission
- Jill Morris, Her Majesty’s Ambassador to the Italian Republic in Rome
- Lewis Michael Eisenberg, United States Ambassador in Italy
- Paula Walsh, Head of Cyber Policy, FCO Foreign & Commonwealth Office
- Nunzia Ciardi, Dirigente Superiore della Polizia di Stato, Direttore del Servizio Polizia Postale
- Juan Anton, Cybersecurity in Aviation & Emerging Risks Section Manager, European Aviation Safety Agency (EASA)
- Andrea Chittaro, Head of Global Security & Cyber Defence Department, SNAM
- Marco Tulliani, Head of IT Risk Mngt and Cybersecurity/CISO, BNL Gruppo BNP Paribas
(elenco completo degli Speaker)
Il CYBERSECURITY SUMMIT 2018 crea un’occasione unica di scambio di esperienze e di networking, di discussione all’interno di Lab verticali specialistici, per approfondire quali sono le esigenze emergenti di sicurezza, identificare le contromisure da adottare, progettare e sviluppare soluzioni innovative sul fronte della Security Governance e del Cyber Risk Management.
(posti limitati e soggetti all’approvazione della Segreteria Organizzativa).