Cryptojacking

I cryptojacker sono un tipo di malware emergente che si nasconde sui dispositivi, sottraendo risorse di elaborazione per generare preziose valute online come i Bitcoin.

Tutto quello che c'è da sapere sul cryptojacking

Il cryptojacking (anche chiamato cryptomining dannoso) è una minaccia online emergente, che si nasconde su un computer o dispositivo mobile e utilizza le risorse della macchina per “generare” tipi di denaro virtuale noti come criptovalute. Si tratta di una minaccia in via di espansione, in grado di infiltrarsi nei browser web e di compromettere ogni tipo di dispositivo, dai PC desktop ai laptop fino agli smartphone e perfino i server di rete.

Come per la maggior parte degli attacchi informatici il movente è il profitto ma, al contrario di altre minacce, questo sistema è pensato per rimanere completamente nascosto. Per comprendere le meccaniche della minaccia e come proteggersi da essa, iniziamo con un po' di contesto.

Cosa sono le criptovalute?

Le criptovalute sono delle tipologie di denaro digitale che esistono soltanto online e non presentano una forma fisica. Sono state create come alternativa al denaro tradizionale e hanno acquisito popolarità per il loro avanguardismo, il loro potenziale di crescita e il loro anonimato. Una delle prime e più diffuse criptovalute è il Bitcoin, nato nel 2009. Entro dicembre 2017, il valore di un singolo Bitcoin ha raggiunto il massimo storico di quasi $20.000 USD, per poi scendere al di sotto di $10.000. Il successo dei Bitcoin ha ispirato decine di altre criptovalute, che funzionano più o meno nello stesso modo. Meno di dieci anni dopo la loro invenzione, le persone di tutto il mondo utilizzano le criptovalute per acquistare, vendere e fare investimenti.

Due parole — “crittografia” e “valuta” — si uniscono per formare il termine “criptovaluta”, ossia denaro elettronico che si basa sui principi della crittografia matematica complessa. Tutte le criptovalute esistono sotto forma di unità monetarie criptate decentralizzate, liberamente trasferibili tra i partecipanti a una rete. In termini semplici, le criptovalute sono elettricità convertita in linee di codice con un reale valore monetario.

“Le unità di criptovaluta (denominate “monete”) non sono altro che voci in un database.”

Le unità di criptovaluta (denominate “monete”) non sono altro che voci in un database. Per effettuare una transazione che altera il database, bisogna soddisfare determinate condizioni. Non è molto diverso dal tracciamento del denaro in un conto bancario. Quando si autorizza un trasferimento, un prelievo o un deposito, il database della banca si aggiorna con le nuove transazioni. Le criptovalute funzionano in modo analogo, ma con un database decentralizzato.

A differenza delle valute tradizionali, le criptovalute come i Bitcoin non sono sostenute da un governo o una banca specifici. Le criptovalute non sono sottoposte a supervisione governativa e non rispondono a un'autorità centrale. Sono decentralizzate e gestite in numerosi database duplicati simultaneamente in una rete di milioni di computer, che non appartengono a una persona od organizzazione. I database delle criptovalute funzionano come libri mastri digitali. Si utilizza la crittografia per controllare la creazione di nuove monete e verificare il trasferimento di fondi. Nel frattempo, le criptovalute e i loro proprietari restano completamente anonimi.

La natura anonima e decentralizzata delle criptovalute implica l'assenza di un ente normativo che decida quanta valuta immettere in circolazione. Il modo in cui la maggior parte delle criptovalute entra in circolazione è un processo denominato “mining”. Senza approfondire troppo, il mining trasforma le risorse di un computer in criptovalute. Inizialmente, chiunque fosse in possesso di un computer aveva la possibilità di generare criptovalute, ma la questione si è rapidamente trasformata in una corsa agli armamenti. Oggi, la maggior parte dei miner utilizza potenti computer appositamente costruiti che generano criptovalute continuamente. Presto le persone hanno iniziato a cercare nuovi modi per generare criptovalute ed è così che è nato il cryptojacking. Anziché pagare per un costoso computer di mining, gli hacker infettano computer normali e li utilizzano come rete per condurre i propri affari.

Se le criptovalute sono anonime, come fanno le persone a usarle?

I proprietari di criptovalute tengono il denaro in “portafogli” virtuali, criptati con codici privati. In una transazione, il trasferimento di fondi tra i proprietari di due portafogli digitali richiede la registrazione di tale scambio nel libro mastro pubblico decentralizzato. Speciali computer raccolgono i dati delle ultime transazioni di Bitcoin o altre criptovalute circa ogni 10 minuti e li trasformano in un rompicapo matematico. A questo punto, la transazione "rompicapo" è in attesa di conferma.

La conferma avviene soltanto quando i membri di un'altra categoria di partecipanti, denominati miner, risolvono indipendentemente i complicati rompicapi matematici che provano la legittimità della transazione, completando la transazione dal proprietario di un portafoglio all'altro. Generalmente, un esercito di miner lavora sodo sul rompicapo in contemporanea, in una gara per essere i primi ad autenticare la transazione.

“I miner hanno scoperto che anche i PC di alta gamma con un processore molto potente non erano in grado di generare abbastanza valuta da coprire i costi.”

Il miner che risolve per primo il problema crittografico riceve una ricompensa, in genere una parte della nuova criptomoneta. Questo approccio è stato appositamente concepito come incentivo per chi sacrifica il proprio tempo e la potenza di elaborazione dei propri computer per mantenere la rete e creare nuove monete. Poiché la complessità dei calcoli è aumentata costantemente nel tempo (specialmente per i Bitcoin), i miner hanno scoperto che anche i PC di alta gamma con un processore molto potente non erano in grado di generare abbastanza valuta da coprire i costi.

Di conseguenza i miner hanno portato il gioco a un nuovo livello, aggiungendo sofisticate schede video, a volte più di una, per gestire i gravosi calcoli. Alla fine, i miner che intendevano rimanere competitivi sono arrivati a costruire enormi "computer farm" con hardware dedicati al mining di criptovalute su scala commerciale. Ecco dove siamo oggi: i soggetti seriamente coinvolti nel settore delle criptovalute investono grandi quantità di denaro in una battaglia contro altri miner in cui la posta in gioco è alta, per risolvere i rompicapi prima di tutti e ottenere la ricompensa.

Tutto ciò rappresenta una corsa agli armamenti estremamente costosa, che richiede molta potenza di elaborazione ed elettricità per aumentare il potenziale di redditività. Ad esempio, prima che la Cina chiudesse le "farm" di criptovalute all'interno del paese, le bollette elettriche mensili avevano raggiunto gli $80.000.

“Se sei vittima di cryptojacking, potresti non accorgertene.”

Cos'è il cryptojacking?

Il cryptojacking è una tecnica che sfrutta i dispositivi altrui (computer, smartphone, tablet o perfino server) senza che l'utente ne sia consapevole o dia il proprio consenso, per generare criptovalute in segreto a spese della vittima. Anziché costruire un computer per il cryptomining, gli hacker utilizzano il cryptojacking per rubare le risorse di elaborazione dai dispositivi delle loro vittime. Combinando tutte queste risorse, gli hacker sono in grado di competere con sofisticate operazioni di cryptomining senza gli elevati costi associati.

Se sei vittima di cryptojacking, potresti non accorgertene. La maggior parte dei software di cryptojacking è progettata per rimanere nascosta, ma questo non significa che non ci siano delle conseguenze. Il furto delle risorse di elaborazione rallenta gli altri processi, aumenta le bollette dell'elettricità e riduce la vita utile del dispositivo. A seconda di quanto è sottile l'attacco, è possibile notare alcuni segnali d'allarme. Se il tuo PC o Mac rallenta o utilizza la ventola di raffreddamento più del normale, potresti avere motivo di sospettare un'attività di cryptojacking.

Il movente alla base del cryptojacking è semplice: il denaro. La generazione di criptovalute può essere molto redditizia, ma è praticamente impossibile fare profitto senza i mezzi per coprire ingenti spese. Per qualcuno con risorse limitate e una morale discutibile, il cryptojacking rappresenta un modo efficace ed economico per generare monete preziose.

Le ultime notizie sul cryptojacking (cryptomining dannoso)

Il Labs CTNT Report evidenzia l'ascesa del cryptomining nel panorama delle minacce
Il cryptomining dannoso e il problema delle liste nere
Lo stato attuale del cryptomining dannoso

Come funziona il cryptojacking?

I cryptojacker possono sfruttare un computer in vari modi. Uno dei metodi è simile a quello utilizzato dai malware classici. Facendo clic su un link dannoso in un'e-mail, il codice di cryptomining viene caricato direttamente sul computer. Una volta che il computer è stato infettato, il cryptojacker inizia a lavorare per generare criptovalute, rimanendo nascosto in background. Poiché insediato nel PC, il problema è locale — una minaccia persistente che ha infettato il computer stesso.

Un approccio alternativo al cryptojacking è quello talvolta denominato "drive-by cryptomining". Come per gli exploit pubblicitari dannosi, questo metodo prevede l'integrazione di un codice JavaScript in una pagina web. Dopodiché, inizia la generazione di criptovalute sulle macchine che visitano la pagina.

“Il drive-by cryptomining può infettare persino i dispositivi mobili Android.”

Nei primi casi di drive-by cryptomining, i web publisher presi dalla frenesia dei Bitcoin hanno provato ad aumentare i propri introiti e a monetizzare il proprio traffico chiedendo apertamente ai visitatori l'autorizzazione per generare criptovalute durante la loro permanenza sul sito. Lo proponevano come un equo scambio: contenuti gratuiti in cambio dell'uso del computer per propositi di mining. Se ci si trova, ad esempio, su un sito di gaming, probabilmente si rimarrà nella pagina a lungo mentre il codice JavaScript genera monete. Quando si lascia il sito, il cryptomining si interrompe e il computer viene liberato. In teoria non è un fatto grave, purché il sito sia trasparente e onesto su ciò che fa, ma è difficile avere la certezza che questi siti giochino secondo le regole.

Altre versioni dannose del drive-by cryptomining non si disturbano a chiedere il permesso e continuano a funzionare anche dopo aver lasciato il sito iniziale. Si tratta di una tecnica diffusa tra i proprietari di siti sospetti o gli hacker che infettano siti legittimi. Gli utenti non sanno che quel sito appena visitato utilizza il loro computer per generare criptovalute. Il codice utilizza solo le risorse del sistema necessarie per rimanere inosservato. Per quanto l'utente ritenga che le finestre del browser siano chiuse, una rimane aperta di nascosto. Generalmente, si tratta di pop-under dimensionati appositamente per nascondersi sotto la barra delle applicazioni o l'orologio.

Il drive-by cryptomining può infettare persino i dispositivi mobili Android. Funziona proprio come per i PC desktop. Alcuni attacchi avvengono per mezzo di un trojan nascosto in un'app che viene scaricata. Oppure i telefoni vengono reindirizzati a un sito infetto, che contiene un persistente pop-under. Esiste perfino un trojan che invade i telefoni Android con un installer talmente nefando da sovraccaricare il processore fino a surriscaldare il telefono, deformando la batteria e danneggiando irrimediabilmente il dispositivo Android. C'è anche questo.

Si potrebbe pensare: “Perché usare un telefono, la cui potenza di elaborazione è relativamente ridotta?” Quando questi attacchi avvengono in massa, un gran numero di smartphone si unisce in una forza collettiva degna dell'attenzione dei cryptojacker.

Alcuni esperti di sicurezza informatica sottolineano che, a differenza degli altri tipi di malware, gli script di cryptojacking non danneggiano i computer o i dati della vittima. Tuttavia, il furto di risorse di elaborazione ha delle conseguenze. Certo, il rallentamento del computer potrebbe rappresentare un semplice inconveniente per un singolo utente. Ma per organizzazioni più grandi, che magari hanno subito più infiltrazioni, i costi sono reali. Costi legati all'elettricità, agli interventi di IT e alle mancate opportunità sono solo alcune delle conseguenze subite da un'organizzazione che viene colpita dal drive-by cryptojacking.

Quanto è grave il problema del cryptojacking?

Il cryptojacking è relativamente nuovo, ma si è già trasformato in una delle minacce online più diffuse. In un recente articolo sul blog di Malwarebytes, il nostro team ha segnalato che da settembre 2017 il cryptomining dannoso (un altro modo per definire il cryptojacking) è stato il malware più rilevato dai nostri sistemi. Il mese seguente, in un articolo pubblicato a ottobre 2017, Fortune ha suggerito che il cryptojacking sarà la prossima principale minaccia alla sicurezza del mondo online. Più di recente, abbiamo assistito a un aumento del 4000% nei rilevamenti di malware di cryptojacking per Android durante il primo trimestre del 2018.

Inoltre i cryptojacker continuano a migliorarsi, invadendo hardware sempre più potenti. Ad esempio, si è verificato un caso in cui i criminali si sono infiltrati nella rete operativa del sistema di controllo di un fornitore d'acqua europeo, riducendo le sue capacità di gestire l'impianto di distribuzione. In un altro caso, un gruppo di scienziati russi sembra aver utilizzato il supercomputer situato nel centro nucleare e di ricerca in cui lavoravano per generare Bitcoin.

“I criminali sembrano preferire il cryptojacking perfino ai ransomware.”

Per quanto siano sorprendenti queste intrusioni, il cryptojacking sui dispositivi personali rimane il problema più grave, poiché rubando poco da molti si possono guadagnare ingenti somme. Di fatto, i criminali sembrano preferire il cryptojacking perfino ai ransomware (anch'essi basati sull'uso di criptovalute per il pagamento di riscatti anonimi), poiché per gli hacker è più redditizio e comporta meno rischi.

Come proteggersi dal cryptojacking?

In caso di infezione da cryptojacking locale sul proprio sistema o attraverso il browser, può essere difficile rilevare manualmente l'intrusione dopo il fatto. Allo stesso modo, anche individuare l'origine dell'elevato utilizzo della CPU può essere difficile. I processi potrebbero nascondersi o mascherarsi sotto forma di qualcosa di legittimo per evitare che l'utente interrompa l'operazione. Inoltre, per fortuna dei cryptojacker, quando il computer funziona alla massima capacità diventa molto lento e quindi è più difficile eseguire la risoluzione dei problemi. Come per tutti gli altri malware, è decisamente meglio installare un sistema di sicurezza prima di diventare una vittima.

Un'opzione ovvia è bloccare JavaScript nel browser utilizzato per navigare in rete. Sebbene questo interrompa il drive-by cryptojacking, potrebbe anche comportare il blocco di funzioni utili o desiderabili. Esistono anche programmi specializzati come “No Coin” e “MinerBlock” che bloccano le attività di mining nei browser più diffusi. Entrambi presentano estensioni per Chrome, Firefox e Opera. Le ultime versioni di Opera includono NoCoin integrato.

“Che i criminali provino a utilizzare un malware, un drive-by download basato sul browser o un trojan, sarai protetto dal cryptojacking.”

Tuttavia, il nostro suggerimento è di evitare le soluzioni dedicate e cercare un programma di sicurezza informatica più completo. Malwarebytes, ad esempio, ti protegge da molto più del cryptojacking. Previene malware, ransomware e molte altre minacce online. Che i criminali provino a utilizzare un malware, un drive-by download basato sul browser o un trojan, sarai protetto dal cryptojacking.

In un panorama delle minacce in costante evoluzione, proteggersi da quelle più recenti come il cryptojacking è un'occupazione a tempo pieno. Con Malwarebytes avrai i mezzi per rilevare e ripulire qualunque tipo di intrusione e garantire che le risorse del tuo computer rimangano solo tue.

(Per saperne di più, leggi “How to protect your computer from malicious cryptomining” (Come proteggere il tuo computer dal cryptomining dannoso) di Pieter Arntz).

Informazioni indispensabili di sicurezza informatica

Vuoi rimanere aggiornato sulle ultime novità in materia di sicurezza informatica? Iscriviti alla nostra newsletter per imparare a proteggere il tuo computer dalle minacce.

Seleziona lingua