Cryptomining : la frontiera avanzata del malware nell’era del Cloud

 I cybercriminali sfruttano  le vulnerabilità dei Pc per rimpossessarsi della CPU  svolgere attività di cryptomining nella cryptocurrency. La situazione in un report di CyberArk

 

Un report di CyberArk dall’autoesplicativo titolo di “ Behind the hidden conversion of electricity to money,   realizzato sotto la guida di   Shay Nahari, Head del  Red Team Services di CyberArk, ha affrontato il tema delle cripto valute, o cryptocurrency,  e del connesso cryptomining, facendo emergere aspetti poco tranquillizzanti e la necessità di rafforzare  le difese a contrasto dei Cybercriminali che stanno sfruttando questo nuovo filone, e sembra che  ci stiano riuscendo benissimo, al fine di far riprendere quota al loro fatturato.

In parte basato sul  ransomware,  lo spazio usuale di business di questa industria sotterranea si sta contraendo a causa delle contromisure intraprese dalle aziende e del diffondersi di tecnologie di sicurezza innovative a più fattori o come quelle basate su Blockchain.

 Shay Nahari

Shay Nahari

A conti fatti, osserva la società particolarmente attiva sul fronte della sicurezza cibernetica  nella difesa degli endpoint privilegiati, il 2017 ha visto un  sensibile spostamento  del panorama degli attacchi volti alla loro monetizzazione, come il citato ransomware  o il furto dei dati di carte di credito, verso una nuova generazione di malware riferita con il termine di cryptominer, una tipologia di attacco che  mira ad impossessarsi delle risorse di un computer, per poi usarle per attività illecite di  cryptocurrency mining.

Una spiegazione si impone. Il mining rappresenta uno strumento per la convalida delle transazioni nella rete di una criptovaluta. Il miner è un individuo o società che investe potenza di elaborazione per ottenere come ricompensa una parte della stessa criptovaluta. La ricompensa, spiega un  interessante approfondimento sul tema su Wikipedia,  diminuisce le commissioni di transazione creando un incentivo per contribuire alla potenza di elaborazione della rete.

Nel caso di un uso illecito, l’obiettivo dei cybercriminali consiste nello sviluppare  malware sempre più sofisticati   ma poco invasivi, e che in quanto tali risultano difficili da individuare, in modo da prolungare il più possibile, dato per scontato, ma non concesso, che prima o poi il malware sarà individuato, in modo da massimizzare la durata del mining sui sistemi compromessi e massimizzare  il proprio profitto.

E’ qui che entro in gioco  il concetto alla base di Bitcoin, una tecnologia  chiamato Monero( XMR). Vediamo in breve di cosa si tratta.

Criptominer e Monero

Monero, spiega CyberArk,  è  una applicazione d cryptocurrency  open source  che opera in modalità peer-to-peer. In sé, una cryptocurrency o criptovaluta , è una valuta paritaria, decentralizzata e digitale la cui implementazione si basa sui principi della crittografia per convalidare le transazioni e la generazione di moneta. Come applicazione è emersa nel 2014 a seguito della diffusione di Bitcoin,

Le sue  implementazioni, come salvaguardia alla contraffazione digitale, in genere adottano per la sicurezza un algoritmo proof-of-work (PoW) ed utilizzano tecnologie peer-to-peer su reti i cui nodi sono computer disseminati geograficamente, ed è qui che interviene il mining. Sui diversi computer appositi programmi svolgono funzioni di portamonete.

L’esigenza di capacità di calcolo per sostenere il processo Monero è esploso, evidenzia CyberArk, nel corso del 2017 ed ha iniziato ad attrarre  l’attenzione di un gruppo di individui che hanno accesso ad alcune delle maggiori intelligenze al mondo, quelle degli sviluppatori di malware.

Il risultato è stato che  quasi “overnight” milioni di computer  sia domestici che di ufficio, infettati  con il malware e divenuti  non di loro sponte membri  di una estesissima botnet, hanno fornito  una enorme opportunità  a criminali cibernetici  che li possono usare per il mining nell’ambito di Monero.

In pratica,  i programmi nascosti hanno iniziato a prelevare capacità elaborativa e quanto ad esso connesso (energia, eccetera)  e l’hanno convertita  in cash per hacker su scala mondiale. Al momento, osserva CyberArk,  il mercato Monero  vale approssimativamente 3 miliardi di dollari, ma il barometro è in crescita.

Il panorama di attacco

Il panorama di attacco

La situazione

In sostanza, i cryptominer   che utilizzano Monero  stanno ponendo una seria sfida  ai team di sicurezza in quanto non seguono  i principi classici del malware.  I cryptominer,  in  opposizione netta a quanto  avviene con i generi usuali di malware, evidenzia CyberArk nel suo report, non hanno la necessità né la voglia di interagire  con il sistema operativo come quando vengono prelevati i dati dalla tastiera o le videate. Quello che fanno  si svolge in modo molto tranquillo e consiste nell’hash di dati, e cioè far passare stringhe di dati  attraverso una formula che produce un risultato, il tutto in background.

Se progettato da un attaccante esperto, il malware di cryptomining può rivelarsi particolarmente ostico da rilevare, a causa dell’utilizzo minimo che fa  di API di Windows, il basso livello di interazione  e le limitate esigenze necessarie a portare avanti il compito assegnatogli. Tutto quello che gli serve è di essere connesso a quello che è riferito come un “mining pool”, e cioè un insieme d risorse di mining, la capacità di entrare in esecuzione quando un sistema viene attivato e la capacità  di fruire del maggior numero di cicli di CPU senza farsi notare.

«Per queste ragioni ci attendiamo  che i cryptominer – e la cryptocurrency anonima Monero che ne è il target –  rimarrà negli anni a venire una  funzione onnipresente nel panorama in costante evoluzione  degli attacchi”, ha commentato CyberArk.