I cyber criminali sono sempre alla ricerca di nuove modalità per compromettere la sicurezza dei dispositivi. Lo scopo di tutto è il guadagno monetario: gli attori in questione mirano al rapporto costo-efficacia, cercando di ottenere il massimo rendimento con il minimo sforzo e rischio.
Malware di Mining
Solitamente, per malware si intende quel virus che ha l’obiettivo di rubare informazioni sensibili, spiare gli utenti, studiare i loro comportamenti o assumere il controllo dei loro dispositivi.
Più tardi viene rilevato, più informazioni riesce a carpire; in molti casi, il malware opera tranquillamente per settimane, mesi o addirittura anni senza essere scoperto.
Un report del Ponemon Institute ha rilevato che il tempo medio di permanenza del malware nel 2017 è stato di 191 giorni. Negli ultimi anni, tuttavia, i cyber criminali hanno sfruttato molto più spesso i ransomware, opzione altamente efficace.
A differenza del malware “tradizionale”, il ransomware si presenta all'utente con una nota di riscatto con lo scopo di spaventare e scioccare. In altre parole, per il successo del ransomware è essenziale non rimanere per niente inosservato.
Per gli aggressori, il ransomware presenta alcuni vantaggi chiave: invece di puntare a informazioni su carte di credito, mirano a ottenere portafogli bitcoin.
Alcune campagne ransomware includono anche fatturazioni e assistenza call center per aiutare le vittime a completare i pagamenti. Il profitto non è l’unico obiettivo: puntare ai bitcoin riduce il rischio per gli aggressori perché implica meno interazioni.
Sembra un piano perfetto, ma c’è un problema: l’efficacia diminuisce nel momento in cui il ransomware finisce nei feed pubblici. Se la firma del ransomware viene rilevata 2 giorni dopo il rilascio, il ROI degli aggressori potrebbe rivelarsi decisamente minore del previsto o addirittura trascurabile.
Come tutti coloro che portano avanti un business altamente redditizio, i criminali informatici devono costantemente trovare nuove modalità per raggiungere i propri obiettivi finanziari. Infatti, ecco che entra in scena Cryptojacking.
Caratteristiche di Cryptojacking
Le operazioni di cryptomining sono diventate sempre più popolari e attualmente consumano quasi mezzo punto percentuale del consumo di elettricità mondiale.
Puntando sulle criptovalute, i cyber criminali hanno forti incentivi per generare bitcoin e Cryptomining con le risorse di qualcun altro è un’impresa quasi priva di rischi.
Infettare 10 macchine con un Criptominer potrebbe costare circa 100$ al giorno, quindi la sfida per i cryptojackers è duplice: in primo luogo, infettare più macchine possibile, in secondo luogo, un po’ come il malware tradizionale, restare nascosti il più a lungo possibile.
Il Cryptojacking sfrutta tecniche similari a quelle dei malware per infiltrarsi nei dispositivi: download automatici, campagne phishing, vulnerabilità e plug-in del browser, per citarne alcuni.
Ovviamente, si indirizzano sempre verso la parte più vulnerabile – gli utenti – attraverso tecniche di social engineering.
I siti web che distribuiscono miners come CoinHive possono inserire un codice JavaScript, magari nell’header o nel footer del sito.
Come Capire se Siamo Stati Infettati
Questa è la parte difficile: molti Cryptominer fanno di tutto per non essere rilevati sia dal software automatizzato che dagli utenti stessi.
Impatto sulle Performance – Come abbiamo visto, i Cryptominer sono interessati alla potenza dei processi mentre i Cryptojacker al profitto che ne traggono. Quanta parte delle risorse CPU che decidono di utilizzare dipende da loro: ovviamente, l’obiettivo principale è quello di non essere rilevati subito per aumentare il profitto.
Tuttavia, si dovrebbe comunque rilevare un cambiamento nelle prestazioni, anche ci sono casi in cui la variazione è talmente minima che è difficile capire se siamo stati infettati o meno.
Gli amministratori aziendali dovrebbero cercare i processi sconosciuti all'interno dell’azienda, e gli utenti dovrebbero generare su Windows un process explorer Sysinternal per vedere cosa stanno facendo. Gli utenti Linux e MacOs dovrebbero analizzare System Monitor e Activity Monitor rispettivamente, per lo stesso motivo.
Attività di Rete – Gli utenti più esperti dovrebbero essere in grado di notare un aumento del traffico di rete. Ad esempio, con una soluzione come SentinelOne è possibile individuare domini sospetti attraverso l’utilizzo di Deep Visibility.
Come Difendersi da Cryptominer
È necessario implementare una soluzione per la protezione dei dispositivi, assicurandosi che possieda anche funzionalità di behavioural detection. I Cryptominer possono lavorare nel browser, e una soluzione legacy che non rileva attacchi file-less, non riuscirebbe a identificarlo.
Come abbiamo visto, il vettore di infezione del Cryptojacking è simile ad altri malware, quindi è necessario sfruttare una soluzione robusta per la protezione di dispositivi come SentinelOne.
Inoltre, abbiamo visto anche come Cryptominer si comporti in maniera similare a software legittimi, quindi il rilevamento deve essere ottimale per poter identificare un attacco simile e per evitare falsi positivi.
SentinelOne, basato su funzionalità di intelligenza artificiale è in grado di rilevare e rispondere automaticamente a molteplici varietà di cryptojacking.
Per avere maggiori informazioni sulle soluzioni SentinelOne per la protezione dei dispositivi inviaci una mail a cio@florence-consulting.it o chiama lo (055) 538-3250.
In alternativa, compila il form sottostante con la tua richiesta.