Cos'è il cryptomining illecito?

Un cryptominer illecito è un codice potenzialmente indesiderato o dannoso che è stato concepito allo scopo di assumere il controllo della potenza di elaborazione in caso di inattività di un dispositivo bersaglio e di utilizzarla in modo illecito al fine di eseguire il mining della criptovaluta. L'attività di mining è solitamente nascosta o eseguita in background senza ottenere il consenso dell'utente o dell'amministratore.

Cos'è il cryptomining illecito?

Un cryptominer illecito è un codice potenzialmente indesiderato o dannoso che è stato concepito allo scopo di assumere il controllo della potenza di elaborazione in caso di inattività di un dispositivo bersaglio e di utilizzarla in modo illecito al fine di eseguire il mining della criptovaluta. L'attività di mining è solitamente nascosta o eseguita in background senza ottenere il consenso dell'utente o dell'amministratore.

4 minuti di lettura

4 minuti di lettura

Come funzionano i cryptominer illeciti?

Sono presenti due tipi principali di cryptominer illeciti:

1. Cryptominer che utilizzano il codice binario : applicazioni dannose scaricate e installate sul dispositivo di destinazione con l'obiettivo di eseguire il mining della criptovaluta. Le soluzioni ESET Security classificano la maggior parte di queste applicazioni come “Trojan”.

2. Cryptominer che utilizzano i browser : JavaScript dannoso incorporato in una pagina web o in alcune sue parti/oggetti, progettato per eseguire il mining della criptovaluta attraverso i browser dei visitatori del sito. Questo metodo, noto anche con il nome di “cryptojacking”, si è diffuso sempre più rapidamente tra i criminali informatici a partire dalla metà del 2017. ESET rileva la maggior parte degli script di cryptojacking come applicazioni potenzialmente indesiderate (Potentially Unwanted Application, PUA).

Avviso

La maggior parte dei cryptominer illeciti tenta di sferzare attachi contro le criptovalute Monero oppure Ethereum , che offrono ai criminali informatici vari vantaggi rispetto ai più noti bitcoin: presentano un livello di anonimato delle transazioni più alto e, soprattutto, possono essere estratti con CPU e GPU normali anziché con componenti hardware costosi e specializzati. Sono stati rilevati attacchi di cryptomining e cryptojacking su tutte le piattaforme desktop più diffuse, nonché sui sistemi operativi Android e iOS.

Perché le PMI dovrebbero fare attenzione ai cryptominer illeciti?

Nell’ultimo mese, un buon 30% delle aziende nel Regno Unito ha subito un attacco di cryptojacking, come emerge da una recente indagine condotta tra 750 dirigenti informatici di tutto il paese. Queste statistiche spiegano due aspetti:

1. Sebbene il cryptomining illecito rappresenti una minaccia con un livello di gravità apparentemente inferiore, le organizzazioni non dovrebbero sottovalutare i rischi che ne derivano. Gli attacchi consistono solitamente in un’appropriazione indebita di un’ampia porzione della potenza di elaborazione dei componenti hardware, che causa una riduzione delle prestazioni e della produttività . Il processo a uso intensivo di energia causa ulteriore stress per i componenti hardware e può danneggiare dispositivi mirati , riducendone la durata.

2. I cryptominer mettono a nudo le vulnerabilità nella politica aziendale in materia di cybersecurity Tale scenario potrebbe causare danni e interruzioni di servizio potenzialmente più gravi. In ragione di prestazioni più elevate e con una maggiore concentrazione, le infrastrutture e le reti aziendali rappresentano un bersaglio più ambito rispetto ai dispositivi degli utenti, in quanto promettono agli autori degli attacchi maggiori guadagni in un lasso di tempo più breve.

Come fare a riconoscere un attacco di cryptomining?

Gli attacchi di cryptomining e cryptojacking sono tipicamente associati ad attività del processore estremamente elevate, che presentano effetti collaterali evidenti. È importante prestare attenzione a quanto segue:

  • Prestazioni e produttività dell’infrastruttura visibilmente ridotti
  • Consumi energetici inusuali
  • Traffico di rete sospetto

Cause aggiuntive di carico computazionale sui dispositivi Android:

  • Riduzione della durata della batteria
  • Notevole aumento della temperatura del dispositivo
  • Riduzione della produttività del dispositivo
  • Danni fisici causati da una sorta di “gonfiore” della batteria negli scenari peggiori

Come fare a mantenere la tua azienda al sicuro dai cryptominer?

1. Protezione degli endpoint, dei server e di altri dispositivi con soluzioni affidabili e su più livelli in grado di rilevare script di cryptomining potenzialmente indesiderati (PUA), nonché Trojan di cryptomining.

2. Implementazione di software di rilevamento delle intrusioni (Intrusion Detection Software, IDS) , che aiuta a identificare modelli di rete sospetti e comunicazioni potenzialmente legate a cryptomining illeciti (domini infetti, connessioni in uscita su porte di data mining tipiche, tra cui 3333, 4444 o 8333, segni di persistenza, ecc.).

3. Aumento della visibilità di rete attraverso l’utilizzo di una console di gestione remota finalizzata all’attuazione di criteri di protezione, al monitoraggio dello stato del sistema, nonché alla sicurezza degli endpoint e dei server aziendali.

4. Percorsi di formazione destinati ai dipendenti (compresi la direzione e gli amministratori di rete) sulle modalità di mantenimento di una buona igiene informatica e di creazione e utilizzo di password complesse, con un ulteriore livello di protezione garantito dall’ autenticazione a due fattori , in grado di potenziare la sicurezza dei sistemi aziendali in caso di perdita delle password o di attacchi di forza bruta.

Misure aggiuntive

5. Principio dei “privilegi minimi” . Tutti gli utenti dovrebbero essere in possesso esclusivamente di account con il minor numero di autorizzazioni possibile, che consentono di completare le attività correnti. Questo approccio riduce significativamente il rischio che utenti e amministratori vengano manipolati e convinti ad aprire o installare cryptominer o altri software dannosi in un dispositivo connesso alla rete aziendale.

6. Utilizzo dei controlli dell’applicazione che limitano al minimo l’esecuzione del software consentito, impedendo l'installazione di malware cryptomining.

7. Implementazione di un buon criterio di aggiornamento e di applicazione delle patch allo scopo di ridurre notevolmente le possibilità di compromettere un’azienda attraverso vulnerabilità note in precedenza, in quanto numerosi cryptominer avanzati utilizzano exploit noti, come ad esempio EternalBlue , per la distribuzione primaria.

8. Monitoraggio di un eventuale utilizzo eccessivo di potenza da parte dei sistemi aziendali o altre anomalie legate al consumo di energia che potrebbero mirare ad attività di cryptomining indesiderate.

Previeni subito gli attacchi di cryptomining

ESET PROTECT
Advanced

Ottieni una protezione efficace dal cryptomining con le soluzioni di protezione ESET degli endpoint su più livelli in grado di rilevare gli script di cryptomining potenzialmente indesiderati (PUA), nonché i Trojan di cryptomining. Questa soluzione include le tecnologie Protezione ransomware e LiveGrid® attraverso la protezione dagli attacchi del cloud e di rete. Per una maggiore visibilità di rete, ti consigliamo di utilizzare contemporaneamente il potente motore di controllo di ESET ed ESET PROTECT Cloud.