Nel corso degli ultimi sei mesi è stato registrato notato un incremento significativo nel numero di campagne di attacco che avevano come obiettivo il mining di criptovalute.
Il trend è determinato da tre elementi.
Il prezzo di molte criptovalute è salito in modo significativo negli ultimi dodici mesi, rendendo l’attività di mining più profittevole rispetto ad altri modelli di business criminali.
Il rischio di utilizzare un computer compromesso per fare mining di criptovalute è attualmente molto inferiore rispetto ad altre attività criminali.
Monero, in particolare, offre agli utenti elevati livelli di privacy e può essere trafugato in modo efficace con desktop o laptop normali. Cosa invece non vera per altre cryptovalute come Bitcoin.
Per rispondere più in dettaglio al motivo della crescita del malware per le criptovalute è importante mettersi al posto dei criminali e valutare le alternative a disposizione per monetizzare le infezioni.
Secondo Ryan Olson, Intelligence Director di Palo Alto Networks mentre gli attacchi mirati ottengono attenzione, la maggior parte delle infezioni malware non ha un obiettivo preciso, ma cerca di infettare il maggior numero possibile di sistemi per poi trasformare tali infezioni in denaro.
La storia del malware insegna
All’inizio degli anni 2000, alcuni dei primi botnet herder guadagnavano reinviando spam email da computer infetti. Nel tempo questa attività è diventata meno profittevole grazie alle soluzioni anti-spam e ISP.
A metà degli anni 2000, i criminali traevano profitto avvalendosi di banking trojan per rubare le credenziali dei siti di online banking per poi prosciugare i conti. Questa attività continua ancora oggi ma le numerose misure anti-frode lo hanno reso meno conveniente e più rischioso.
Un altro aspetto delle infezioni da trojan bancario è che, anche se il criminale infetta gli host in modo indiscriminato, il valore di quest’ultimo dipende dal suo proprietario e dall’abilità del malintenzionato a “svuotargli” il conto.
Nel 2007 infettare un sistema in Australia costava US$0,60, mentre la stessa attività in Polonia ammontava a US$0,096. La differenza nel prezzo rappresentava la differenza in valore: i criminali riuscivano a fare più soldi con un’infezione da banking trojan in Australia che in Polonia.
La svolta ransomware
Di pari passo con l’evoluzione delle protezioni anti-frode si sono evoluti anche i criminali.
Saltiamo al 2013 e all’avvento dei ransomware.
Questa nuova modalità di generare profitti offriva due notevoli vantaggi:
Ogni sistema infetto poteva essere tenuto in ostaggio, non solo quelli degli utenti a cui sono state rubate le credenziali e che fanno attività di banking online.
I pagamenti in criptovaluta, principalmente bitcoin, non richiedono interazioni con le banche, riducendo così costi e rischi per i malviventi.
Tutti quelli che studiano la cybersecurity sanno che del 2013 il ransomware è cresciuto in maniera esponenziale, infettando sistemi in tutto il mondo. E mentre solo una piccola frazione (1 su 1000) dei sistemi infettati da un banking trojan generano profitti per l’hacker, la frazione di vittime di ransomware che paga il riscatto per recuperare i propri file è molto superiore.
E adesso il mining delle criptovalute
Negli ultimi due anni, ma soprattutto negli ultimi sei mesi, il prezzo di bitcoin e altre cryptovalute è salito in modo significativo rispetto al dollaro. Qui di seguito l’andamento dei bitcoin negli ultimi due anni che mostra un aumento dal 2.000% al 4.000% rispetto al dollaro.
Mentre il mining da parte di botnet non è una novità, la tecnica era molto meno profittevole rispetto al ransomware. In effetti, nonostante la crescita di hardware specializzato in bitcoin mining, nessun PC può generare grandi quantità di denaro per il malvivente.
Tuttavia ci sono altre criptovalute sul mercato. La più minata è Monero che, diversamente dai bitcoin, viene recuperata con successo con PC e GPU standard. Come indicato nell’immagine qui di seguito, il prezzo di Monero è cresciuto ancora più velocemente di quello dei bitcoin negli ultimi due anni, con guadagni superiori al 30.000% rispetto al dollaro.
Un PC utilizzato per recuperare Monero può guadagnare circa 0,25 dollari al giorno. Non è molto, ma, a differenza del ransomware, è improbabile che gli utenti si accorgano dell’infezione. Ad esempio, a gennaio Palo Alto Networks ha identificato una campagna di Monero mining che aveva infettato circa 15 milioni di sistemi, soprattutto nei paesi in via di sviluppo. Se questi sistemi sono rimasti infetti per almeno 24 ore ciascuno, gli attaccanti potrebbero aver guadagnato oltre 3 milioni di dollari in Monero.
Cosa attendersi, cosa fare
L’ondata di attacchi proseguirà fino a che il livello di profitto è elevato. È importante sapere che le tecniche impiegate per il coin mining sono le stesse del ransomware. L’infezione parte da un’email con allegati documenti malevoli, drive-by exploit kit sui browser, or attacchi diretti su server con software vulnerabile.
In questo scenario composto da botnet herder, banking trojan, ransomware e coin mining c’è una costante: la volontà di massimizzare il profitto e ridurre il rischio.
Sono tre le cose a cui prestare attenzione.
Un incremento nel prezzo di Monero o altre cryptovalute attirerà ancora più malviventi: per molti utenti potrebbe trattarsi di uno sviluppo positivo dato che lo sfruttamento delle risorse del proprio PC è sicuramente meno preoccupante del dover pagare un riscatto o ripristinare un sistema dal backup per via di un ransomware.
Ascoltare la ventola o tenere d’occhio l’uso della CPU: molti utenti si rendono conto che il loro sistema è infetto da malware di coin mining quando la ventola del laptop passa in modalità high speed per raffreddare la CPU. Adottare a livello aziendale soluzioni di monitoraggio delle performance della CPU potrebbe servire a identificare dispositivi compromessi.
I criminali troveranno un modo per sfruttare gli attacchi: compromettere il browser o il pc frutteranno al criminale un Sistema medio per il coin mining, ma i sistemi high-end generano più profitto. I malviventi inizieranno presto a cercare device con specifiche più elevate per guadagnare di più. I PC di gaming con sofisticate GPU e i server con molteplici core saranno sicuramente target primari.