I cybercriminali sfruttano le vulnerabilità dei Pc per rimpossessarsi della CPU svolgere attività di cryptomining nella cryptocurrency. La situazione in un report di CyberArk
Un report di CyberArk dall’autoesplicativo titolo di “ Behind the hidden conversion of electricity to money”, realizzato sotto la guida di Shay Nahari, Head del Red Team Services di CyberArk, ha affrontato il tema delle cripto valute, o cryptocurrency, e del connesso cryptomining, facendo emergere aspetti poco tranquillizzanti e la necessità di rafforzare le difese a contrasto dei Cybercriminali che stanno sfruttando questo nuovo filone, e sembra che ci stiano riuscendo benissimo, al fine di far riprendere quota al loro fatturato.
In parte basato sul ransomware, lo spazio usuale di business di questa industria sotterranea si sta contraendo a causa delle contromisure intraprese dalle aziende e del diffondersi di tecnologie di sicurezza innovative a più fattori o come quelle basate su Blockchain.
A conti fatti, osserva la società particolarmente attiva sul fronte della sicurezza cibernetica nella difesa degli endpoint privilegiati, il 2017 ha visto un sensibile spostamento del panorama degli attacchi volti alla loro monetizzazione, come il citato ransomware o il furto dei dati di carte di credito, verso una nuova generazione di malware riferita con il termine di cryptominer, una tipologia di attacco che mira ad impossessarsi delle risorse di un computer, per poi usarle per attività illecite di cryptocurrency mining.
Una spiegazione si impone. Il mining rappresenta uno strumento per la convalida delle transazioni nella rete di una criptovaluta. Il miner è un individuo o società che investe potenza di elaborazione per ottenere come ricompensa una parte della stessa criptovaluta. La ricompensa, spiega un interessante approfondimento sul tema su Wikipedia, diminuisce le commissioni di transazione creando un incentivo per contribuire alla potenza di elaborazione della rete.
Nel caso di un uso illecito, l’obiettivo dei cybercriminali consiste nello sviluppare malware sempre più sofisticati ma poco invasivi, e che in quanto tali risultano difficili da individuare, in modo da prolungare il più possibile, dato per scontato, ma non concesso, che prima o poi il malware sarà individuato, in modo da massimizzare la durata del mining sui sistemi compromessi e massimizzare il proprio profitto.
E’ qui che entro in gioco il concetto alla base di Bitcoin, una tecnologia chiamato Monero( XMR). Vediamo in breve di cosa si tratta.
Criptominer e Monero
Monero, spiega CyberArk, è una applicazione d cryptocurrency open source che opera in modalità peer-to-peer. In sé, una cryptocurrency o criptovaluta , è una valuta paritaria, decentralizzata e digitale la cui implementazione si basa sui principi della crittografia per convalidare le transazioni e la generazione di moneta. Come applicazione è emersa nel 2014 a seguito della diffusione di Bitcoin,
Le sue implementazioni, come salvaguardia alla contraffazione digitale, in genere adottano per la sicurezza un algoritmo proof-of-work (PoW) ed utilizzano tecnologie peer-to-peer su reti i cui nodi sono computer disseminati geograficamente, ed è qui che interviene il mining. Sui diversi computer appositi programmi svolgono funzioni di portamonete.
L’esigenza di capacità di calcolo per sostenere il processo Monero è esploso, evidenzia CyberArk, nel corso del 2017 ed ha iniziato ad attrarre l’attenzione di un gruppo di individui che hanno accesso ad alcune delle maggiori intelligenze al mondo, quelle degli sviluppatori di malware.
Il risultato è stato che quasi “overnight” milioni di computer sia domestici che di ufficio, infettati con il malware e divenuti non di loro sponte membri di una estesissima botnet, hanno fornito una enorme opportunità a criminali cibernetici che li possono usare per il mining nell’ambito di Monero.
In pratica, i programmi nascosti hanno iniziato a prelevare capacità elaborativa e quanto ad esso connesso (energia, eccetera) e l’hanno convertita in cash per hacker su scala mondiale. Al momento, osserva CyberArk, il mercato Monero vale approssimativamente 3 miliardi di dollari, ma il barometro è in crescita.
La situazione
In sostanza, i cryptominer che utilizzano Monero stanno ponendo una seria sfida ai team di sicurezza in quanto non seguono i principi classici del malware. I cryptominer, in opposizione netta a quanto avviene con i generi usuali di malware, evidenzia CyberArk nel suo report, non hanno la necessità né la voglia di interagire con il sistema operativo come quando vengono prelevati i dati dalla tastiera o le videate. Quello che fanno si svolge in modo molto tranquillo e consiste nell’hash di dati, e cioè far passare stringhe di dati attraverso una formula che produce un risultato, il tutto in background.
Se progettato da un attaccante esperto, il malware di cryptomining può rivelarsi particolarmente ostico da rilevare, a causa dell’utilizzo minimo che fa di API di Windows, il basso livello di interazione e le limitate esigenze necessarie a portare avanti il compito assegnatogli. Tutto quello che gli serve è di essere connesso a quello che è riferito come un “mining pool”, e cioè un insieme d risorse di mining, la capacità di entrare in esecuzione quando un sistema viene attivato e la capacità di fruire del maggior numero di cicli di CPU senza farsi notare.
«Per queste ragioni ci attendiamo che i cryptominer – e la cryptocurrency anonima Monero che ne è il target – rimarrà negli anni a venire una funzione onnipresente nel panorama in costante evoluzione degli attacchi”, ha commentato CyberArk.