Cryptojacking, di che cosa si tratta e come proteggersi

Noto anche come cryptomining, il fenomeno del cryptojacking prevede l’uso non autorizzato da parte dell’hacker di un dispositivo appartenente ad un utente per il cosiddetto mining di criptovalute: ovvero per la produzione di valute digitali.

I dispositivi maggiormente colpiti da questa minaccia sono gli smartphone, tablet e computer. Persino i server di rete sono coinvolti in questo vortice di minacce. La ragione principale dell’attacco cryptojacking è naturalmente generare ricchezza per l’hacker e quindi, generalmente rimane celato all’ignaro utente che lo subisce.

Ma procediamo per step, prima chiariamo per bene il concetto di criptovaluta.

Sono tra gli argomenti più dibattuti degli ultimi anni ed è fondamentale comprendere la loro natura, per sapere quali sono gli effetti di un attacco cryptojacking.
Parlando della vera natura delle criptovalute, s’intende esattamente una tipologia di denaro che però non si presenta sotto forma di banconote o monete bensì esiste solamente come forma di ricchezza digitale, online. La ragione che ha determinato il reale successo di questa valuta è sì il fatto che oggigiorno la stragrande maggioranza di noi passa molto tempo nel mondo digitale: le transazioni sono una delle attività che più facilmente ci capita di dover effettuare.

Ebbene, la criptovaluta nasce proprio per questo motivo come forma di alternativa al tradizionale denaro a partire dal 2009 con il rinomato Bitcoin. Ormai, dopo diversi anni dalla loro creazione, le monete virtuali sono diffuse tra quasi tutte le fasce di età degli utenti online.

Ma qual è la caratteristica fondamentale di una criptovaluta?

La moneta virtuale definita criptovaluta ha come peculiarità sono anonimizzate ovvero crittografate e liberamente trasferibili senza alcun vincolo o intermediario. Ebbene sì, avete capito perfettamente: le criptovalute sono così peculiari da non rispondere a un’autorità centrale, non si conosce il loro proprietario e quindi non è possibile risalire a chi ne sia in possesso.

Capite bene, che proprio per la loro caratteristica di anonimità, questo genere di ricchezza viene ampiamente impiegata per scopi illegittimi anche dalle organizzazioni di criminali informatici che non solo possono facilmente trasferire elevate somme di ricchezza senza essere tracciate, ma possono anche generarla.

Generare moneta virtuale è l’azione che viene definita in gergo mining e affinché sia possibile, serve un dispositivo le cui risorse vengono demandate a quest’attività. Grazie a questo concetto è nata la tipologia di attacco di cui parleremo oggi: ovvero, il cryptojacking.

Arrivai a questo punto possiamo definire il cryptojacking come:

la pratica di sfruttare le risorse del dispositivo di un utente vittima per produrre criptovalute.

Ovviamente parliamo di una pratica illegale che tuttavia, si sta rapidamente diffondendo anche grazie ai vantaggi delle criptovalute. Immaginiamo dunque che un pirata informatico riesca ad avere accesso al vostro computer e rubare le risorse di elaborazione dai dispositivi delle loro vittime per produrre moneta virtuale.

Considerate che gli hacker che attaccano secondo la tecnica del cryptojacking si diffondono su larga scala a partire dal 2017, in buona sostanza, pochissimo tempo fa.

La nascita di questa categoria di hacker è dovuta indubbiamente all’aumento del valore di tutto il comparto delle criptovalute. Quest’attività è stata profondamente studiata dai pirati informatici al punto che molti di loro che hanno iniziato a “infettare” siti web di tutto il mondo. L’obiettivo? Inserire alcune righe di codice JavaScript nelle pagine web in modo da consentire alla CPU dei visitatori di eseguire il mining della criptovaluta per conto dell’hacker.

In buona sostanza, il criminale informatico invece di ricorrere ad un costoso sistema di server, gli hacker infettano dispositivi normali e li utilizzano come rete per ottenere le risorse del sistema e generare criptovalute. Ci teniamo fortemente a sottolineare che gli script di cryptojacking non danneggiano i computer o i dati delle vittime. Semplicemente, rubano le risorse di elaborazione dei dispositivi.

Gli attacchi di cryptojacking iniziano sempre quando un attaccante prende di mira un dispositivo (smartphone, server web o computer) della vittima. Durante l’attacco al dispositivo, l’hacker proverà ad installare un software in background capace di generare criptovalute sfruttando le risorse del computer (memoria, velocità di elaborazione, ecc.). L’obiettivo di questo software non è tanto quello di arrecare danni al device, al contrario, è importante che il device funzioni al meglio e che quindi possa permettergli di generare moneta virtuale. Tuttavia, questo processo deve avvenire senza che la vittima se ne renda conto.

L’installazione dei software per il mining generalmente viene indotta attraverso l’invio di e-mail phishing contenenti link dannosi (se la vittima ci clicca su viene scaricato il software malevolo) o tramite siti web con pop-up ingannevoli (anche in questo caso quando l’utente clicca sul banner o sul pop-up incriminato il software s’installa a bordo dispositivo).

Come dicevamo, l’attacco di cryptojacking o i software di mining che vengono installati a bordo dei device non sono dannosi per il dispositivo: non cancellano file, e non bloccano le attività della vittima.

Al contrario, l’unico sintomo che può destare sospetto sulla loro presenza o meno è casomai l’eventuale lentezza nelle prestazioni quotidiane: questo perché rubano le risorse di elaborazione del computer.

Il vero problema del cryptojacking attack sono i costi che genera per la vittima che è costretta a vedere aumentare i consumi di elaborazione senza aver mutato le modalità di utilizzo della macchina. Nelle aziende infette da software di mining i costi per l’elettricità lievitano a vista d’occhio e da un momento all’altro.

L’attacco di cryptojacking non si limita ad infettare un solo dispositivo: più facilmente questi software riescono ad entrare in contatto con più dispositivi della rete.
Pensate che il fenomeno del cryptojacking interessa anche alcuni modelli di smartphone Android funzionando con le stesse modalità dei software che prendono di mira server e pc.

Una breve premessa: chiaramente i singoli smartphone hanno una potenza di elaborazione relativamente limitata. A tal proposito, perché ne valga davvero la pena gli attacchi si devono verificare in gran numero, fornendo una forza collettiva sufficiente per giustificare gli sforzi.

Il cryptojacking segue la tendenza di molte altre minacce informatiche che in questi ultimi due anni hanno continuato a crescere ed evolversi.

Nell 2019 le infezioni di cryptojacking hanno subito un lieve calo per poi riassestarsi e crescere nuovamente nell’anno successivo (2020). Nonostante le criptovalute abbiano subito una parziale perdita di valore, gli hacker hanno sempre continuato a sviluppare software cryptominer per estrarre risorse dalle vittime abusando delle loro reti.

Questa loro perseveranza ha fatto sì che nel 2020, il volume dei rilevamenti di malware cryptominer è salito di oltre il 25%.

Stabilire con esattezza quanta moneta viene estratta o generata attraverso l’attacco cryptojacking  è difficile ma non c’è dubbio che oggi si tratti di una pratica che dilaga.
Tra le molte minacce hacker, il cryptojacking viene preferito da molte organizzazioni di criminali informatici poiché il rischio di essere scoperti e ancor peggio identificati è inferiore rispetto ad un attacco ransomware, ad esempio.

Nel caso in cui la vittima dovesse accorgersi di essere sotto attacco, sarebbe comunque difficile risalire alla fonte. Inoltre, la ricerca non conviene direttamente alle vittime hanno pochi incentivi a farlo poiché nulla è stato rubato o crittografato. Tendenzialmente, gli hacker tendono a preferire le criptovalute anonime alle più popolari (come Bitcoin) perché è ancor più difficile rintracciare l’attività illegale verso di loro.

Secondo le nostre statistiche, i soggetti che maggiormente patiscono le pene del fenomeno cryptojacking sono soprattutto le piccole e medie imprese.

Pensate che le statistiche ci dicono che le piccole imprese rappresentano un terzo del traffico del mining di monete virtuali mentre le aziende di medie dimensioni la metà del traffico. In generale, le grandi aziende cadono meno in questa minaccia poiché sono più sensibili al problema della sicurezza informatica.

Come abbiamo più volte sottolineato, è difficile rilevate all’interno di un sistema informatico la presenza di un attacco di cryptojacking anche se esistono delle misure che possono aiutare il reparto IT ad identificare il problema.

Resta ovviamente fondamentale dotarsi di un sistema di prevenzione dagli attacchi malware e dall’installazione di software indesiderati. Inoltre, effettuare con regolarità dei controlli sulla sicurezza della propria rete attraverso un Vulnerability Assessment vi permetterebbe di identificare i punti deboli del perimetro.

Inoltre, può rivelarsi utile aggiornare frequentemente tutti i sistemi aziendali, valutando la disinstallazione di software non utilizzati o sconosciuti. Infine, consigliamo vivamente di non trascurare i picchi per alcuni problemi IT legati all’uso anomalo della CPU. Se molti dipendenti segnalano prestazioni lente o surriscaldamento dei dispositivi, l’azienda potrebbe essere vittima di cryptojacking.

Azienda per il monitoraggio e la prevenzione degli attacchi informatici

Siamo un’azienda specializzata in consulenza di sicurezza informatica.

Il nostro team di specialisti cybersecurity vanta un’esperienza decennale nel settore e ci occupiamo di identificare le vulnerabilità informatiche nei sistemi informatici e nelle applicazioni web.

Cyberment ha 3 sedi dalle quali studia con costanza l’evoluzione delle minacce informatiche: Milano, Mantova e Londra. Se desideri conoscere in modo approfondito i nostri servizi di prevenzione dalle minacce informatiche, contattaci e parlaci dei problemi della tua azienda.