Il cryptojacking è una delle tecniche di criminal hacking più diffuse sulla Rete dalla quale è anche difficile difendersi: si tratta dell’uso non autorizzato del computer di qualcun altro per estrarre criptovaluta.
Uno dei metodi più comuni con cui gli aggressori portano a termine questo attacco è attraverso l’utilizzo di link dannosi contenenti il codice di cryptojacking: lo fanno sia infettando un sito web bersaglio o anche con un semplice banner online con codice JavaScript che viene eseguito automaticamente una volta caricato nel browser della vittima.
In entrambi i casi, il codice funziona in background, senza che la vittima si accorga di essere stata colpita. L’unico segno che potrebbero notare è un rallentamento delle prestazioni o un ritardo nell’esecuzione di alcuni programmi.
Indice degli argomenti
Come funziona il cryptojacking
I criminal hacker hanno due modi principali per ottenere le risorse del computer di una vittima per estrarre segretamente le criptovalute. Uno è quello di ingannare le vittime a caricare il codice di crittografia sui loro computer e lo fanno solitamente attraverso tattiche di phishing.
Come standard, le vittime ricevono un’e-mail dall’aspetto legittimo che le incoraggia a cliccare su un link. Il link esegue il codice che posiziona lo script di cryptomining sul computer e viene poi eseguito in background mentre la vittima lavora.
L’altro metodo consiste nell’iniettare uno script su un sito web o un annuncio pubblicitario che viene consegnato a più indirizzi. Una volta che la vittima visita il sito Web o che l’annuncio infetto compare nel browser, lo script viene eseguito automaticamente, ma sul computer della vittima non viene memorizzato alcun codice.
Qualunque sia il metodo utilizzato, lo script esegue complessi algoritmi sui computer delle vittime e invia i risultati a un server controllato dall’aggressore.
Ovviamente, in molti casi, gli aggressori utilizzano entrambi i metodi per massimizzare il loro rendimento, anche se la percentuale non è sempre perfettamente bilanciata. Per esempio, su 100 dispositivi che estraggono criptovalute, il 10% potrebbe generare entrate dal codice iniettato sulle macchine delle vittime, mentre il 90% lo fa attraverso i loro browser web.
Alcuni script di cryptomining hanno capacità di worming che permettono loro di infettare altri dispositivi e server su una rete. Questo li rende anche più difficili da trovare e rimuovere; perché mantenere la persistenza su una rete è nell’interesse finanziario del criminal hacker.
Per aumentare la loro capacità di diffondersi su una rete, il codice di cryptomining potrebbe includere più versioni per tenere conto di diverse architetture sulla rete. In un esempio descritto da Alien Labs, il codice di cryptomining scarica semplicemente gli impianti per ogni architettura finché uno non funziona.
Gli script potrebbero anche controllare se il dispositivo è già infettato da malware “concorrente”. Se viene rilevato un altro cryptominer, lo script lo disattiva.
A differenza della maggior parte degli altri tipi di malware, gli script di cryptojacking non danneggiano i computer o i dati delle vittime. Rubano le risorse di elaborazione della CPU. Per i singoli utenti, il rallentamento delle prestazioni del computer potrebbe essere solo un fastidio. Ma per un’organizzazione con molti sistemi crittografati può comportare costi reali in termini di help desk e tempo IT speso per rintracciare i problemi di prestazioni e sostituire componenti o sistemi nella speranza di risolvere il problema.
Il motivo di tanta popolarità
È difficile stimare quanta criptovaluta venga estratta attraverso il cryptojacking, ma non c’è dubbio che la pratica sia comunque molto diffusa, anche se più lontana dal picco iniziale.
Il cryptojacking basato su browser è cresciuto velocemente all’inizio, ma sembra che si stia assottigliando, probabilmente a causa della volatilità della criptovaluta e della chiusura di Coinhive – il più popolare “miner” JavaScript – che veniva utilizzato anche per la legittima attività di cryptomining.
È stato stimato che il volume degli attacchi di cryptojacking è diminuito del 78% nella seconda metà del 2019 a seguito della chiusura di Coinhive.
Ma il fenomeno è ancora nella sua fase d’infanzia, c’è molto spazio per la sua crescita e la sua evoluzione.
Il cryptojacking non richiede nemmeno competenze tecniche significative, anzi: i kit sono disponibili sul Dark Web per soli 30 dollari.
Anche il solo fattore rischio lo rende comunque appetibile. I criminal hacker vedono il cryptojacking come un’alternativa più economica al ransomware, anche se quest’ultimo sembra essersi nuovamente fatto avanti.
Con il ransomware, un aggressore potrebbe far pagare tre persone ogni 100 computer infettati, mentre con il cryptojacking tutte le 100 macchine infette lavorano per l’hacker per estrarre la criptovaluta.
E soprattutto, il cryptojacking genera continuamente denaro. Anche il rischio di essere catturati e identificati è molto minore rispetto al ransomware. Il codice di cryptomining funziona in modo “surrettizio” e può passare inosservato per molto tempo. Una volta scoperto, è molto difficile risalire alla fonte e le vittime sono poco incentivate a farlo, dato che non è stato rubato o criptato nulla.
Come difendersi dal cryptojacking
Per difendersi dal cryptojacking è necessario incorporare una strategia di difesa proattiva e concentrata sul fattore umano.
Innanzitutto, è fondamentale incorporare la minaccia del cryptojacking nella formazione di sensibilizzazione alla cyber security, concentrandosi sui tentativi compiuti attraverso il phishing di caricare codice dannoso.
Le soluzioni di Phishing Attack Simulation permettono alle aziende di contrastare questo fenomeno attraverso un test dello human factor garantendo anche una efficace attività di training e awareness.
La formazione aiuterà a proteggere le aziende quando le soluzioni tecniche potrebbero fallire.
Ma questa da sola potrebbe non bastare: per provare a difendersi dal cryptojacking è anche necessario installare un’estensione per il blocco degli annunci o per l’anti-cryptojacking sui browser web. Poiché gli script di cryptojacking sono spesso forniti attraverso gli annunci, questo può essere un mezzo efficace per fermarli.
