Una duplice minaccia sempre più diffusa: l'accoppiata cryptojacker-ransomware

Mentre nel periodo tra il 2016 e i primi mesi del 2017 si è avuta una concentrazione massima di attacchi ransomware devastanti, la fine del 2017 ha visto il diffondersi di un'altra minaccia come nemico numero uno di aziende e privati: il cryptomining illecito.

AcronisTrue Image 2020

Come il ransomware, i cryptominer non sono un fenomeno nuovo; è almeno dal 2011 che esiste la possibilità di sfruttare le risorse dei computer per generare bitcoin senza l'ausilio di hardware potente o specializzato. I criminali informatici, però, hanno iniziato a sviluppare malware di cryptomining solo in seguito al boom delle criptovalute nella seconda metà del 2017.

In quel periodo sono comparse migliaia di valute digitali diverse basate su blockchain. Per molte il volume e la capitalizzazione sono schizzate alle stelle, e per alcune il mining può avvenire sfruttando le risorse di un normale computer. Il cryptomining è uno dei pilastri di qualunque criptovaluta: fornisce infatti la potenza di elaborazione necessaria per verificare le transazioni precedenti nella criptovaluta, processo che garantisce l'integrità della valuta digitale. I cryptominer usano le risorse dei computer per risolvere problemi matematici complessi: il miner che risolve per primo il problema riceve una ricompensa nella stessa criptovaluta.

Questa attività può rendere parecchio se chi viene pagato è chi ha messo a disposizione le risorse (potenza di elaborazione ed elettricità) per verificare una transazione di criptovaluta. I criminali informatici, però, hanno scoperto che infettando un computer con un malware di cryptomining gli si può far fare tutto il lavoro e raccogliere i profitti senza investire un centesimo. Moltiplicate l'operazione per 1000 o per un milione di computer infetti e capirete facilmente perché i truffatori si siano buttati sul malware di cryptomining: è estremamente redditizio, e spesso le vittime sono del tutto ignare di essere derubate.

I criminali informatici più scaltri si sono resi conto che combinando più tipi di malware potevano moltiplicare i guadagni e le percentuali di successo. L'utente che faceva clic incautamente su un link o apriva l'allegato di un'e-mail dannosa veniva infettato due volte: dal malware di cryptomining e dal ransomware. Dal momento che un computer con i file crittografati da un ransomware non può funzionare come motore per il cryptomining, l'aggressore decideva quale delle due minacce attivare a seconda della configurazione hardware e software del computer, delle sue difese anti-malware e dell'attacco che riteneva più redditizio. Così, all'improvviso, il malware di cryptomining è diventato popolarissimo tra i criminali informatici.

L'aumento vertiginoso dei cryptojacker nel 2018

Il produttore di software anti-malware McAfee ha rilevato circa 400.000 esemplari di malware di cryptomining nel quarto trimestre 2017, numero che è aumentato in maniera impressionante (+629%) nel primo trimestre 2018, superando i 2,9 milioni di esemplari. Nel secondo trimestre si è registrato un aumento dell'86%, che rappresenta più di 2,5 milioni di nuovi esemplari. Nello stesso periodo, il produttore di software anti-malware TrendMicro ha pubblicato report molto simili, rilevando un incremento del 956% in questo tipo di attacchi dall'inizio del 2017.

grafico del malware di mining

Il peggio è che il malware di cryptomining non è stato sviluppato solo sotto forma di applicazioni eseguite di nascosto sui sistemi Windows o Linux delle vittime, ma anche come servizio di mining di criptovalute. Con queste iniziative illecite si installa di nascosto un piccolo frammento di codice JavaScript su un sito web. Il codice sfrutta tutta o parte della potenza di elaborazione di qualunque browser visiti il sito in questione, adibendo il computer al mining di criptovaluta all'insaputa – e a scapito – del visitatore del cui sistema si consumano le risorse.

Questo approccio si è diffuso rapidamente. Nel novembre 2017 AdGuard, produttore di un plugin molto diffuso per bloccare le pubblicità nei browser, ha registrato una crescita del 31% del cryptojacking all'interno dei browser. La ricerca di AdGuard ha individuato più di 30.000 siti web in cui vengono eseguiti script di cryptomining come Coinhive che, secondo varie segnalazioni, ha colpito nel mondo un'organizzazione su cinque. In febbraio, il Bad Packets Report ha individuato 34.474 siti in cui viene eseguito Coinhive, il miner JavaScript più diffuso e utilizzato anche per le attività lecite di cryptomining. Nel luglio 2018, Check Point Software Technologies ha comunicato che, delle 10 istanze di malware più diffuse rilevate dai suoi esperti, quattro erano cryptominer. Poiché ha interessato quasi la metà delle aziende nel mondo, il malware di cryptomining ha superato il ransomware nella classifica delle minacce informatiche più pericolose e prevalenti nel panorama odierno.

Come funziona il cryptomining illecito

Per infettare le vittime con il malware di cryptojacking, i criminali informatici si servono di svariate tecniche, dalla compromissione dei PC e dei dispositivi mobile di singoli utenti all'infiltrazione in siti web molto frequentati con diffusione del malware a chiunque li visiti. Il phishing e lo spearphishing con e-mail concepite per trarre in inganno gli utenti spingendoli a fare clic su link dannosi o ad aprire allegati pericolosi sono anch'essi vettori di attacco estremamente diffusi ed efficaci. Alcune varianti integrano dei worm che permettono al malware di diffondersi da un dispositivo compromesso a molti altri dispositivi collegati in rete. L'exploit EternalBlue, usato per moltiplicare le infezioni del ransomware WannaCry generando un'epidemia mondiale nel 2017, è utilizzato ancora oggi dai distributori di malware di cryptomining. Tuttavia, a differenza di chi è colpito da un ransomware, le vittime del cryptomining in genere non si rendono conto del furto che subiscono, se non per una vaga sensazione che le prestazioni del sistema siano inferiori al solito.

I finti aggiornamenti software sono un'altra tecnica di infiltrazione molto usata: ad esempio, un malware finge di essere un aggiornamento legittimo di Adobe Flash Player, viene scaricato e nasconde le proprie tracce aggiornando effettivamente Flash mentre installa un payload di cryptomining.  Un altro metodo comune è iniettare uno script di mining dannoso in un sito web legittimo o in un blocco di pubblicità online che compare su più siti web. Quando una vittima visita il sito o quando il suo browser carica la pubblicità online, il processo di cryptomining si avvia, sottraendo risorse e guadagni all'insaputa dell'utente.

Gli sviluppatori di malware di cryptomining hanno imparato dagli errori commessi inizialmente. Oggi è molto meno frequente trovare dei malware che consumano il 100% della capacità della CPU della vittima, causando un rallentamento percepibile e quindi più facile da rilevare e da correggere. Le versioni più recenti dei malware di cryptomining operano in modo più sofisticato per nascondere la loro presenza: caricano la CPU della vittima solo per il 20% circa, sfruttano i momenti di inattività degli utenti per eseguire i calcoli che assorbono più risorse, ecc. Così, questi cryptominer riescono a sottrarre risorse alla vittima per periodi prolungati, senza essere rilevati.

Purtroppo, non è necessario essere ingegneri informatici con ottime conoscenze di software per entrare nel ramo del mining illegale. Come nel caso di altri kit di malware, il cryptojacking come servizio si può acquistare sul dark web per una cifra irrisoria, mezzo dollaro USA. Inoltre, il grado elevato di riservatezza e di anonimato caratteristico di alcune criptovalute come Monero e Zcash rende molto più difficile rintracciare e agguantare i malviventi.

Ad esempio, Monero usa un registro pubblico per creare e monitorare lo scambio di token digitali, ma le transazioni sono offuscate in modo da nascondere l'origine, la destinazione e gli importi effettivi di criptovaluta trasferiti. Un recente studio di un'università tedesca ha evidenziato che il miner di criptovaluta incorporato Coinhive genera ogni mese l'equivalente di 250.000 $ in Monero. Secondo le conclusioni di questa ricerca, pubblicata dall'Università RWTH di Aquisgrana, Monero rappresenta il 75% del totale del mining di criptovalute tramite browser.

I principali cryptojacker

Smominru

Smominru è probabilmente la botnet di cryptojacking più tristemente nota: formata da oltre 520.000 computer, al gennaio 2018 aveva fatto intascare ai suoi proprietari l'equivalente in Monero di oltre 3 milioni di dollari, grazie a una configurazione intelligente che si rigenera di continuo. Smominru si basa su EternalBlue, l'exploit sottratto alla NSA utilizzato anche nell'epidemia globale del ransomware WannaCry del 2017.

BadShell

Cryptojacker sofisticati come BadShell si celano all'interno di processi legittimi come Windows PowerShell, attraverso i quali eseguono di nascosto script di mining malevoli. Sono pochi gli antivirus tradizionali in grado di rilevare questa minaccia, in quanto generalmente gli eseguibili firmati da Windows come PowerShell sono considerati affidabili a priori.

Coinhive

Sviluppato originariamente come strumento legittimo di monetizzazione di siti web e tuttora usato a questo scopo, il codice di mining di Coinhive è attualmente la minaccia più diffusa al mondo in fatto di cryptojacking. Il dato interessante è che l'azienda responsabile di Coinhive ricava il 30% sul totale delle operazioni di mining, anche dalle istanze illegali.

MassMiner

MassMiner è un esempio interessante perché concentra numerosi exploit di varie vulnerabilità in un solo payload. Lo sfruttamento dei punti deboli privi di patch di Oracle WebLogic, Windows SMB e Apache Struts ha fruttato l'equivalente di quasi 200.000 $ in Monero ai creatori di MassMiner.

Prowli

Prowli è una gigantesca e notissima botnet di oltre 40.000 server web, modem e altri dispositivi IoT (Internet of Things) infetti utilizzata per il mining di criptovalute e per reindirizzare gli utenti verso siti dannosi. Prowli include un worm brute force per il furto delle password che ha lo scopo di facilitare la diffusione del suo miner di Monero. In alcuni casi, la botnet installa anche delle backdoor sui sistemi infetti.

WinstarNssMiner

Nel maggio 2018, WinstarNssMiner ha infettato più di mezzo milione di sistemi nel giro di tre giorni. Quando rileva la presenza di un antivirus efficace sul computer che colpisce, questo cryptojacker resta latente, attivandosi solo sui sistemi con difese più vulnerabili. Il peggio è che, se si tenta di eliminarlo, WinstarNssMiner causa il blocco del sistema infetto.

Ora Acronis True Image combatte i cryptojacker

Nell'ambito della sua costante attività di protezione informatica, Acronis ha monitorato il fenomeno del cryptomining e il suo evolversi in minaccia mondiale ormai diffusissima. Così, per proteggere i nostri clienti privati e aziendali dal malware di cryptomining, abbiamo potenziato le funzioni anti-ransomware di Acronis Active Protection dotandolo di una tecnologia in grado di contrastare anche questo tipo di malware.

Questa versione ottimizzata di Acronis Active Protection utilizza l'apprendimento automatico avanzato per identificare e bloccare tutti i processi di cryptojacking conosciuti in esecuzione su Windows. Quando rileva un cryptominer, Acronis Active Protection informa l'utente amministratore del dispositivo dell'attività potenzialmente illecita (questa funzione sarà inizialmente disponibile solo nella versione di Acronis True Image per gli utenti domestici, ma abbiamo in programma di integrarla nei nostri prodotti Acronis Backup destinati alle aziende in un prossimo futuro).