Negli ultimi anni, il cryptojacking si è rivelato una delle minacce più gravi alla sicurezza informatica. Il cryptojacking è un attacco informatico che ruba risorse di calcolo per minare criptovalute senza autorizzazione. I terreni di mining non regolamentati possono rappresentare un enorme onere finanziario per il settore finanziario, causando perdite ingenti, e le organizzazioni devono sostenere costi operativi più elevati a causa dei danni all'hardware e dell'aumento del consumo energetico.
In questo blog discuteremo cosa sia il cryptojacking e quali siano alcune tecniche di attacco, meccanismi di rilevamento e strategie di difesa. Discuteremo anche di come gli aggressori diffondono malware di mining utilizzando una serie di vettori di attacco, inclusi gli indicatori di compromissione più comuni, e delineeremo i modi migliori per proteggersi da tali minacce.
Che cos'è il cryptojacking?
Il cryptojacking consiste nel dirottare dispositivi informatici per estrarre criptovalute. In questo processo, gli aggressori inseriscono malware per costringere il dispositivo preso di mira a risolvere complessi calcoli matematici necessari per l'estrazione di criptovalute. Il mining è il processo attraverso il quale le transazioni in criptovaluta vengono verificate e registrate sulla blockchain.
Il mining richiede una notevole potenza di calcolo. I cryptojacker dirottano un sistema e utilizzano la sua CPU e GPU per il mining. Di solito si concentrano su criptovalute che offrono ancora rendimenti redditizi con l'uso di hardware informatico standard, come Monero (poiché il suo algoritmo di mining è compatibile con le CPU).
Perché il cryptojacking è così pericoloso?
Il cryptojacking può essere molto grave per le organizzazioni, poiché può funzionare a lungo su larga scala senza essere rilevato e causare danni ingenti. Influisce direttamente sulle prestazioni del sistema, poiché utilizza le risorse della CPU per il mining. Questo utilizzo può danneggiare l'hardware, in particolare nei sistemi che funzionano 24 ore su 24, 7 giorni su 7, al massimo della loro capacità o quasi.
Questa minaccia non si limita a influire sui singoli dispositivi. Il malware di cryptojacking è solitamente dotato di caratteristiche simili a quelle di un worm, in modo da diffondersi attraverso le reti. Il malware cerca quindi altri sistemi vulnerabili all'interno della rete e crea una rete di nodi di mining. Tale comportamento amplia la superficie di attacco e complica il processo di rimozione.
Impatto del cryptojacking
Il cryptojacking ha un impatto finanziario non lineare. L'utilizzo di più sistemi alla massima capacità comporta un aumento dei costi dell'elettricità per le organizzazioni. L'usura continua comporta costi di sostituzione dell'hardware. Ciò può causare un calo delle prestazioni, ma anche una significativa perdita di tempo nell'implementazione di questi servizi e un aumento del rischio di interruzioni. Gli impatti sul business includono anche quanto segue:
- Violazione della conformità normativa dovuta all'esecuzione di codice non autorizzato
- Rischio di esposizione a responsabilità legale per attività di mining non autorizzate
Anche l'impatto ambientale è notevole. Quando questi aggressori prendono di mira i data center o le infrastrutture cloud, le operazioni di cryptojacking risultanti diventano su larga scala, aumentando in modo significativo il consumo energetico e le emissioni di carbonio.
Sintomi comuni del cryptojacking
Gli amministratori di sistema possono individuare il cryptojacking utilizzando alcuni dei soliti sospetti. Anche in stato di inattività, quando non sono in esecuzione applicazioni utente, l'utilizzo elevato della CPU persiste. Processi sconosciuti che utilizzano molte risorse sono visibili nel Task Manager o in uno strumento di monitoraggio del sistema.
Questo tipo di modello viene solitamente rivelato attraverso il monitoraggio della rete. I sistemi infetti hanno connessioni in uscita continue al mining pool o ai server di comando e controllo (C2). Questi collegamenti utilizzano in genere metodi mirati che sono rilevanti per i protocolli di mining che i team di sicurezza devono identificare.
L'hardware interessato mostra sintomi fisici. I sistemi si surriscaldano e le ventole di raffreddamento funzionano a piena velocità. Se il dispositivo funziona a batteria, la durata della batteria è molto più breve. In casi estremi, ciò causa il crash dei sistemi o l'attivazione della protezione termica.
Il cryptojacking tramite browser presenta alcuni indicatori. Anche con poche schede aperte, i browser Web sfruttano al massimo le risorse della CPU. Il calo delle prestazioni continua fino alla chiusura delle rispettive schede del browser.
Tipi di attacchi di cryptojacking
Sebbene il cryptojacking abbia attirato molta attenzione negli ultimi anni, questo tipo di attacco è tutt'altro che monolitico, poiché utilizza metodologie diverse per infiltrarsi nei sistemi e minare criptovalute. Questi tipi di attacchi differiscono per modalità di diffusione, persistenza e livello di impatto.
1. Cryptojacking basato su browser
Il cryptojacking basato su browser implica che il codice di mining sia stato implementato all'interno dei browser web, probabilmente a seguito del controllo dei siti web da parte di hacker. I miner JavaScript si avviano automaticamente quando gli utenti visitano siti infetti e non scaricano file sul sistema; pertanto, l'utente non viene avvisato.
2. Cryptojacking basato su file binari
Negli attacchi basati su file binari, gli aggressori inviano file eseguibili dannosi ai sistemi di destinazione. Questi miner operano come un processo indipendente che (in genere) viene camuffato da servizio di sistema legittimo. Rimangono attivi anche dopo il riavvio del sistema e spesso sono più efficienti di quelli basati su browser, poiché sono in grado di accedere direttamente all'hardware.
3. Cryptojacking della catena di approvvigionamento
Il cryptojacking della catena di approvvigionamento dirotta i canali di distribuzione di software autentici per distribuire invece malware di mining. Un aggressore aggiunge codice di mining a pacchetti software, aggiornamenti o dipendenze. I componenti di mining vengono distribuiti automaticamente insieme a una firma digitale ogni volta che gli utenti installano o aggiornano il software interessato.
4. Cryptojacking senza file
Il cryptojacking senza file utilizza l'intero processo nella memoria di sistema invece di scrivere sul disco. In questi attacchi, gli script PowerShell o altri strumenti nativi di Windows vengono utilizzati per scaricare ed eseguire il codice di mining. Il rilevamento diventa più difficile a causa dell'assenza di artefatti sul disco.
5. Cryptojacking dell'infrastruttura cloud
Gli attacchi sono rivolti all'infrastruttura cloud e prendono di mira risorse e container cloud configurati in modo errato. Nelle istanze cloud, l'implementazione dei miner avviene attraverso la superficie di attacco presentata dalle interfacce di gestione esposte o attraverso credenziali deboli configurate in modo improprio. Tali attacchi possono aumentare rapidamente di dimensioni fornendo risorse cloud aggiuntive utilizzando credenziali di account altrimenti legittime che sono state compromesse.
Come funzionano gli attacchi di cryptojacking?
Nel cryptojacking, gli aggressori utilizzano varie fasi tecniche per eseguire un'azione che consenta loro di distribuire il codice di mining e rimanere persistenti. Sebbene ogni tecnica abbia vettori di attacco e modalità di sfruttamento diversi, tutte hanno approcci essenzialmente simili, ovvero evitare il rilevamento massimizzando le prestazioni di mining.
Tecniche di iniezione basate sul browser
Il primo passo nel cryptojacking basato sul browser è compromettere siti web legittimi. Negli attacchi di tipo domain crawler, gli hacker incorporano codice JavaScript di mining all'interno delle pagine web tramite plugin vulnerabili, sistemi di gestione dei contenuti obsoleti o librerie di terze parti compromesse. Quando questo codice viene eseguito all'interno del browser di un visitatore, si connette ai pool di mining con connessioni WebSocket e avvia il mining. Questi script sono spesso costruiti con livelli di throttling per renderli meno visibili e utilizzano la verifica del dominio per evitare la duplicazione del codice.
Attacchi basati su file binari
Gli attacchi binari iniziano con la compromissione iniziale del sistema tramite phishing, exploit o download dannosi. Il codice rilascia eseguibili di mining e file di supporto in diverse cartelle di sistema. Questi contengono informazioni relative alle configurazioni dei pool di mining, agli indirizzi dei portafogli e all'utilizzo della CPU. La persistenza viene ottenuta aggiungendo chiavi di registro, pianificando attività o installando un servizio.
Metodi di compromissione della catena di approvvigionamento
Questo tipo di attacco prende di mira i sistemi di compilazione del software, i server di aggiornamento o i repository dei pacchetti. I componenti di mining vengono aggiunti al codice sorgente o agli script di compilazione dall'autore dell'attacco. Questi pacchetti mantengono il loro scopo pre-infetto e invece eseguono il mining in background. Gli autori degli attacchi hanno ripetutamente utilizzato certificati di firma del codice acquisiti legittimamente da fornitori affidabili per eludere il rilevamento o i controlli di sicurezza. Il codice di mining viene eseguito dopo la normale sequenza di installazione.
Approcci malware senza file
Il cryptojacking senza file esegue il codice di mining direttamente nella memoria, utilizzando strumenti di sistema come PowerShell o Windows Management Instrumentation (WMI). Tali compromissioni avvengono in genere tramite script o macro dannosi e questi script scaricano configurazioni di mining crittografate dal server di comando e le decodificano nella memoria. L'attacco stabilisce la persistenza tramite sottoscrizioni di eventi WMI o chiavi di esecuzione del registro che ricaricano il codice di mining dopo il riavvio del dispositivo.
Tecniche comuni di rilevamento del cryptojacking
Per rilevare gli attacchi di cryptojacking è necessario monitorare vari componenti di sistema e analizzare una serie di indicatori tecnici. Per identificare realmente le attività di mining nella propria infrastruttura, le organizzazioni devono adottare un approccio a più livelli.
1. Indicatori delle prestazioni del sistema
Tutto inizia con il monitoraggio dell'utilizzo della CPU e della GPU per indagare sulla presenza di cryptojacking. Strumenti come il monitoraggio del livello di attività del processore e il rilevamento di un utilizzo elevato prolungato al di fuori dei limiti dell'attività normale in genere attivano un avviso. I sensori di temperatura forniscono informazioni relative a comportamenti anomali della temperatura. Il monitoraggio delle applicazioni mostra le applicazioni che consumano molte risorse in esecuzione da posizioni inappropriate.
2. Analisi del traffico di rete
Il secondo tipo di rilevamento, quello basato sulla rete, presta maggiore attenzione alle comunicazioni sul mining pool. Le connessioni a domini di mining pool noti e indirizzi IP esteri sono state rivelate attraverso un'ispezione approfondita dei pacchetti. Se gli strumenti di analisi del traffico rilevano modelli di dati coerenti che corrispondono ai protocolli di mining, significa che c'è qualcosa che non va. Rileva le connessioni crittografate SSL/TLS ai servizi di mining.
3. Approcci di analisi forense della memoria
Gli strumenti di analisi della memoria acquisiscono un'istantanea della memoria per analizzare cosa sta succedendo nel codice con le firme. Sono utilizzati per rilevare le tecniche di iniezione dei processi di mining. Gli scanner di memoria identificano gli indirizzi dei portafogli di criptovaluta e gli URL dei mining pool all'interno della memoria di processo. Analizzando il runtime, è possibile trovare determinati modelli di codice che iniziano a corrispondere agli algoritmi di mining noti.
4. Monitoraggio dell'attività di PowerShell
Il monitoraggio di PowerShell significa monitorare il rilevamento del mining senza file. Gli strumenti di sicurezza registrano e analizzano le esecuzioni dei comandi PowerShell. Comandi di mining di criptovalute e configurazione nella registrazione dei blocchi di script. La registrazione dei moduli registra l'utilizzo dei moduli PowerShell nel mining. La registrazione delle trascrizioni cattura i dettagli completi della sessione per l'analisi forense delle sessioni PowerShell.
5. Analisi del comportamento del browser
Gli strumenti di monitoraggio del browser monitorano automaticamente se un browser sta effettuando il mining utilizzando JavaScript. Gli analizzatori di estensioni rilevano i codici di mining nelle estensioni del browser. I monitor vengono posizionati sulle pagine web per controllare l'esecuzione di JavaScript per il mining di monete. Le connessioni WebSocket ai servizi di mining vengono rilevate dagli analizzatori di richieste di rete.
Best practice per la protezione contro il cryptojacking
La prevenzione dei sistemi di cryptojacking richiede una combinazione di controlli di sicurezza e varie procedure operative. Queste pratiche creano livelli di difesa in grado di prevenire una compromissione iniziale e i tentativi di mining.
1. Configurazione della sicurezza del browser
Si inizia configurando alcune impostazioni di sicurezza all'interno del browser per impedire a JavaScript di eseguire determinate funzioni. I team di sicurezza lo vedono e utilizzano estensioni di blocco degli script che impediscono l'esecuzione di tutti i codici di mining attivi. I domini di mining vengono bloccati con le politiche di sicurezza dei contenuti. L'esecuzione di WebAssembly può essere disabilitata in contesti non attendibili tramite le politiche del browser. Gli aggiornamenti del browser risolvono regolarmente le vulnerabilità che consentono l'iniezione di codice di mining.
2. Implementazione del monitoraggio della rete
Per difendere la rete, le organizzazioni devono implementare strumenti di monitoraggio nei punti rilevanti della loro infrastruttura. Le firme sono utilizzate dai sistemi di rilevamento delle intrusioni per riconoscere il traffico dei pool di mining. Il malware di mining che si muove lateralmente viene invece bloccato dalla segmentazione della rete. Il filtraggio DNS impedisce le connessioni dal bersaglio ai domini identificati come pool di mining. I modelli di traffico insoliti provenienti dai sistemi dirottati vengono rilevati dal monitoraggio della larghezza di banda.
3. Configurazione della protezione degli endpoint
Gli strumenti di sicurezza degli endpoint aiutano a garantire la protezione contro il malware di mining. La whitelist delle applicazioni aiuta a bloccare l'esecuzione di miner non autorizzati. Se viene rilevato un processo di mining, questo verrà terminato o eliminato e non sarà in grado di eseguire alcuna operazione dannosa. Gli avvisi sull'utilizzo delle risorse identificano le attività di sistema che sembrano sospette. Le modifiche non autorizzate a un sistema vengono tracciate dal monitoraggio dell'integrità dei file. La protezione della memoria ostacola i metodi di iniezione di codice utilizzati dai miner.
4. Requisiti di consapevolezza della sicurezza
Le minacce di cryptojacking dovrebbero essere trattate nei programmi di sensibilizzazione alla sicurezza per educare gli utenti. La formazione include l'individuazione di comportamenti strani nel sistema. I dipendenti dovrebbero essere formati su come scaricare ed eseguire in modo sicuro il software da Internet. Il processo di segnalazione degli incidenti consente alle organizzazioni di rispondere rapidamente alle sospette infezioni.
5. Strategie di gestione delle patch
Le strategie di gestione delle patch proteggono i sistemi dallo sfruttamento delle vulnerabilità note. I team di sicurezza dovrebbero disporre di aggiornamenti programmati per tutti i sistemi. Ciò può garantire che le organizzazioni ottengano una copertura tempestiva utilizzando la distribuzione automatizzata delle patch. L'identificazione dei sistemi senza patch e la scansione delle vulnerabilità dello stato delle patch nell'intera infrastruttura vengono monitorate dalla gestione della configurazione.
Cybersicurezza alimentata dall'intelligenza artificiale
Elevate la vostra posizione di sicurezza con il rilevamento in tempo reale, la risposta automatica e la visibilità totale dell'intero ambiente digitale.
Richiedi una demoConclusione
Il cryptojacking è una minaccia continua alla sicurezza informatica che continua ad evolversi in termini di complessità e portata. Oltre a esaurire le risorse informatiche, tali attacchi comportano anche pesanti perdite finanziarie dovute all'aumento dei costi operativi, danni all'hardware e multe per eventuali violazioni delle normative che potrebbero verificarsi. Per le organizzazioni è difficile individuare e bloccare i miner, poiché questi ultimi utilizzano tecniche di evasione che diventano ogni giorno più sofisticate.
Le aziende sono pronte a trovare soluzioni adeguate ai costi per un rilevamento e una risposta rapidi con la loro strategia di sicurezza cloud, offrendo protezione contro il cryptojacking. Conoscere questi vettori di attacco, le iniezioni basate su browser, malware senza file, ecc., consente all'organizzazione di implementare le difese adeguate. Una solida strategia di difesa contro il cryptojacking consisterà nel monitoraggio del sistema, nell'analisi della rete e nella sensibilizzazione dei dipendenti.
Domande frequenti sul cryptojacking
Il cryptojacking è un attacco in cui gli aggressori utilizzano silenziosamente la potenza di calcolo dei loro obiettivi per minare criptovalute. Questo attacco distribuisce il codice di mining in uno dei tre modi seguenti: uno script del browser, un eseguibile dannoso o un malware senza file per minare criptovalute senza il tuo permesso.
Gli effetti del cryptojacking includono bollette elettriche più elevate, potenziali danni all'hardware dovuti a un uso eccessivo e una diminuzione della velocità delle prestazioni del sistema. Le organizzazioni subiscono anche una perdita di produttività, il rischio di non rispettare varie normative e costi aggiuntivi per la sicurezza contro i rilevatori e la riparazione.
Le operazioni di cryptojacking aumentano il tasso complessivo di potenza di mining sulle reti di criptovalute senza l'uso di capitale di investimento reale, influenzando i mercati delle criptovalute. Tale mining non autorizzato influisce anche sui tassi di difficoltà del mining di criptovalute e può influire sulle dinamiche di mercato delle criptovalute minabili con CPU.
Il processo di rimozione del malware di cryptojacking comporta l'individuazione e l'eliminazione dei processi di mining in esecuzione, la cancellazione dei file dannosi e l'eliminazione dei meccanismi di persistenza. Utilizzare soluzioni di sicurezza per eseguire la scansione dei sistemi, ripulirli dalle infezioni e verificare tramite indagini che siano state rimosse.
È possibile effettuare molti rilevamenti monitorando l'utilizzo della CPU, monitorando le connessioni di rete in uscita verso i pool di mining ed eseguendo la scansione alla ricerca di firme di codice di malware miner. Gli strumenti di sicurezza sono in grado di rilevare processi sospetti, traffico di rete anomalo e utilizzo non autorizzato delle risorse.
Il reato principale associato al cryptojacking è la violazione delle leggi sull'accesso ai computer, che comporta accuse penali. Le organizzazioni che eseguono inconsapevolmente codice di cryptojacking possono violare la conformità normativa, oltre a trovarsi legalmente responsabili per aver condotto operazioni non autorizzate nel mining.
