Cryptojacking: di cosa si tratta?

Il cryptojacking è una forma di malware che si nasconde nel dispositivo e ne ruba le risorse di calcolo per estrarre preziose valute online come i Bitcoin.

DOWNLOAD MALWAREBYTES GRATUITO

Anche per Windows, iOS, Android, Chromebook e Per il Business

Tutto sul cryptojacking.

Il cryptojacking (chiamato anche cryptomining dannoso) è una minaccia online che si nasconde su un computer o dispositivo mobile e utilizza le risorse della macchina per "estrarre" tipi di valuta online conosciuti come criptovalute. I cryptominer dannosi spesso arrivano attraverso download del browser web o app mobili rogue. Il cryptojacking può compromettere tutti i tipi di dispositivi, inclusi desktop, laptop, smartphone e persino server di rete. 

Come nella maggior parte degli attacchi dannosi informatici, il movente è il profitto, ma a differenza di molte minacce, il suo design è pensato per restare completamente nascosto all'utente. Per comprendere la meccanica della minaccia e come proteggersi, iniziamo con un po' di contesto.

Cosa sono le criptovalute?

Le criptovalute sono forme di denaro digitale che esistono esclusivamente nel mondo online, senza alcuna forma fisica. Sono state create come alternativa al denaro tradizionale e hanno guadagnato popolarità per il loro design innovativo, il potenziale di crescita e l'anonimato. Una delle prime forme di criptovaluta più riuscite, Bitcoin, è stata lanciata nel 2009 e ha ottenuto riconoscimento mainstream negli anni successivi.

Il successo di Bitcoin ha ispirato decine di altre criptovalute che operano più o meno nello stesso modo. Potresti essere familiare con nomi come Ethereum o Dogecoin, per esempio. Oggi, persone in tutto il mondo usano le criptovalute per acquistare cose, vendere cose e fare investimenti.

Due parole—“cripto” e “valuta”—si combinano per formare “criptovaluta”, che è denaro elettronico basato sui principi della crittografia matematica complessa. Tutte le criptovalute esistono come unità monetarie decentralizzate criptate, trasferibili liberamente tra i partecipanti alla rete. O più semplicemente, una criptovaluta è elettricità convertita in righe di codice, che ha un valore monetario reale.

"Le unità di criptovaluta (chiamate "monete") non sono altro che voci in un database".

Le unità di criptovaluta (chiamate "monete") non sono altro che voci in un database. Per eseguire una transazione che altera il database, bisogna soddisfare certe condizioni. Pensa a come gestisci i tuoi soldi in un conto bancario. Ogni volta che autorizzi trasferimenti, prelievi o depositi, il database della banca si aggiorna con le tue nuove transazioni. Le criptovalute funzionano in modo simile, ma con un database decentralizzato.

A differenza delle valute tradizionali, le criptovalute come Bitcoin non sono garantite da un governo specifico o da una banca. Non c'è una supervisione governativa o un regolatore centrale. Sono decentralizzate e gestite in molti database duplicati simultaneamente su una rete di milioni di computer che non appartengono a nessuna persona o organizzazione. Inoltre, il database della criptovaluta funziona come un libro mastro digitale. Utilizza la crittografia per controllare la creazione di nuove monete e verificare il trasferimento di fondi. Nel frattempo, la criptovaluta e i suoi proprietari rimangono completamente anonimi.

La natura decentralizzata e anonima delle criptovalute significa che non c'è un ente regolatore che decide quanta valuta rilasciare in circolazione. Invece, il modo in cui la maggior parte delle criptovalute entra in circolazione è attraverso un processo chiamato "mining di criptovaluta". Senza entrare nei dettagli, il processo di mining essenzialmente trasforma risorse informatiche in monete di criptovaluta. Inizialmente, chiunque avesse un computer poteva fare mining, ma rapidamente si è trasformato in una corsa agli armamenti.

Oggi, la maggior parte dei miner utilizza computer potenti, costruiti appositamente per fare mining di criptovaluta senza interruzioni. In poco tempo, le persone hanno iniziato a cercare nuovi modi per fare mining di criptovaluta ed è nato il cryptojacking. Invece di pagare per un costoso computer per fare mining, gli hacker infettano i computer comuni e li usano come una rete per i loro scopi.

Come vengono utilizzate le criptovalute dalle persone?

I proprietari di criptovalute tengono i loro soldi in "portafogli" virtuali, che sono criptati in modo sicuro con chiavi private. In una transazione, il trasferimento di fondi tra i proprietari di due portafogli digitali richiede che un record di questo scambio sia inserito nel registro digitale pubblico decentralizzato. Computer speciali raccolgono dati dalle ultime transazioni di Bitcoin o altre criptovalute circa ogni 10 minuti e le trasformano in un puzzle matematico. Lì, la transazione-all'interno-del-puzzle attende conferma.

La conferma avviene solo quando membri di un'altra categoria di partecipanti, chiamati miner, risolvono in modo indipendente i complessi puzzle matematici che provano la legittimità della transazione, completando così lo scambio dal proprietario di un portafoglio a un altro. Normalmente, un esercito di miner si impegna contemporaneamente per essere il primo a risolvere il puzzle che autentica la transazione.

"I minatori hanno scoperto che anche i PC di fascia alta con un processore potente non riuscivano a estrarre con sufficiente profitto per coprire i costi necessari".

Il miner che per primo risolve il problema criptato riceve una ricompensa, di solito una quantità di nuova criptovaluta. Questo approccio è stato concepito appositamente come incentivo per chi sacrifica il tempo e la potenza di calcolo dei propri computer per mantenere la rete e creare nuove monete. Poiché la complessità dei calcoli del puzzle è aumentata nel tempo (e in particolare per Bitcoin), i miner hanno scoperto che anche i PC di fascia alta con un potente processore non potevano fare mining in modo proficuo per coprire i costi coinvolti.

I miner hanno potenziato le loro capacità aggiungendo schede video sofisticate, a volte multiple, per gestire i pesanti calcoli. Alla fine, i miner che volevano restare competitivi hanno iniziato a costruire enormi farm di computer con hardware dedicato per il mining di criptovalute su scala commerciale. Ecco dove siamo oggi: i giocatori seri di criptovalute investono molto denaro in una guerra ad alta intensità contro altri miner per risolvere il puzzle per primi e ottenere la ricompensa.

L'incremento in questo impegno massiccio è una corsa agli armamenti estremamente costosa, che richiede molta potenza di calcolo ed energia elettrica per aumentare le possibilità dei miner di essere redditizi. Ad esempio, prima che la Cina chiudesse le farm di criptovalute nel paese, le bollette elettriche mensili raggiungevano i 80.000 dollari.

"Se siete vittime di un cryptojacking, potreste non accorgervene".

Che cos'è il cryptojacking?

Il cryptojacking è uno schema che utilizza i dispositivi delle persone (computer, smartphone, tablet o persino server), senza il loro consenso o conoscenza, per fare segretamente mining di criptovaluta a spese della vittima. Invece di costruire un computer dedicato al cryptomining, gli hacker usano il cryptojacking per rubare risorse informatiche dai dispositivi delle loro vittime. Sommando tutte queste risorse, gli hacker possono competere con operazioni di cryptomining sofisticate senza i costosi costi fissi.

Se sei una vittima del cryptojacking, potresti non accorgertene. La maggior parte del software di cryptojacking è progettato per rimanere nascosto dall'utente, ma ciò non significa che non stia prendendo il suo pedaggio. Questo furto delle tue risorse informatiche rallenta altri processi, aumenta le bollette dell'elettricità e accorcia la vita del tuo dispositivo. A seconda di quanto sottile è l'attacco, potresti notare alcuni segnali d'allarme. Se il tuo PC o Mac si rallenta o usa la ventola di raffreddamento più del solito, potresti avere motivo di sospettare il cryptojacking.

La motivazione dietro il cryptojacking è semplice: denaro. Fare mining di criptovaluta può essere molto lucrativo, ma trarre profitto è ormai quasi impossibile senza i mezzi per coprire grandi costi. Per qualcuno con risorse limitate e morale discutibile, il cryptojacking è un modo efficace ed economico per estrarre monete preziose.

Come funziona il cryptojacking?

I cryptojacker hanno più di un modo per impadronirsi del tuo computer. Un metodo funziona come il malware classico. Clicchi su un link dannoso in un'email e questo carica il codice di cryptomining direttamente sul tuo computer. Una volta infettato il tuo computer, il cryptojacker inizia a lavorare senza interruzioni per fare mining di criptovaluta mentre resta nascosto in background. Poiché risiede sul tuo PC, è una minaccia locale—persistente che ha infettato il computer stesso.

Un'alternativa al cryptojacking a volte è chiamata cryptomining drive-by. Simile agli exploit pubblicitari dannosi, lo schema prevede l'inserimento di un pezzo di codice JavaScript in una pagina web. Dopo di che, esegue il mining di criptovaluta sui computer degli utenti che visitano la pagina.

"Il cryptomining drive-by può infettare anche il vostro dispositivo mobile Android ".

Inizialmente, gli editori web coinvolti nella mania del bitcoin cercavano di integrare le loro entrate e monetizzare il loro traffico chiedendo apertamente il permesso ai visitatori di fare mining di criptovalute mentre erano sul loro sito. Lo presentavano come uno scambio equo: ottieni contenuti gratuiti mentre usano il tuo computer per il mining.

Se sei su, diciamo, un sito di giochi, probabilmente rimani sulla pagina per un po' mentre il codice JavaScript estrae monete. Poi, quando esci dal sito, il cryptomining si arresta e libera il tuo computer. In teoria, non è così male, purché il sito sia trasparente e onesto su ciò che fa, ma è difficile essere certi che i siti siano onesti.

Le versioni più dannose di cryptomining drive-by non si preoccupano di chiedere permesso e continuano a funzionare molto dopo che hai lasciato il sito iniziale. Questa è una tecnica comune per i proprietari di siti dubbi, o hacker che hanno compromesso siti legittimi. Gli utenti non sanno che un sito che hanno visitato sta usando il loro computer per fare mining di criptovaluta. Il codice usa solo abbastanza risorse di sistema per rimanere inosservato. Anche se l'utente crede di avere tutte le finestre del browser chiuse, una nascosta rimane aperta. Solitamente è un pop-under che si adatta sotto la barra delle applicazioni o dietro l'orologio.

Il cryptomining drive-by può persino infettare il tuo dispositivo mobile Android. Funziona con gli stessi metodi che colpiscono i desktop. Alcuni attacchi avvengono tramite un Trojan nascosto in un'app scaricata. Oppure i telefoni degli utenti possono essere reindirizzati a un sito infetto che lascia un pop-under persistente. C'è persino un Trojan là fuori che invade i telefoni Android con un installer così nefando, da tassare il processore a tal punto che il telefono si surriscalda, fa gonfiare la batteria e, essenzialmente, lascia il tuo Android per morto. Così anche questo è possibile.

Potresti pensare: “Perché usare il mio telefono e la sua potenza di elaborazione relativamente minore?” Ma quando questi attacchi avvengono in massa, il gran numero di smartphone là fuori si somma a una forza collettiva che attira l'attenzione dei cryptojacker.

Alcuni esperti di cybersecurity sottolineano che, a differenza della maggior parte degli altri tipi di malware, gli script di cryptojacking non danneggiano i computer o i dati delle vittime. Ma rubare risorse CPU ha conseguenze. Certo, prestazioni del computer più lente potrebbero essere solo un fastidio per un utente individuale. Ma per organizzazioni più grandi che potrebbero aver subito molti sistemi cryptojacked, ci sono costi reali. Costi di energia elettrica, costi di manodopera IT e opportunità perse sono solo alcune delle conseguenze di ciò che accade quando un'organizzazione è colpita dal cryptojacking drive-by.

Quanto è diffuso il cryptojacking?

Negli ultimi anni, il cryptojacking è diventato un tipo di minaccia piuttosto comune, aumentando di popolarità nel 2017 e 2018. A febbraio 2018, Malwarebytes Labs ha pubblicato che il cryptomining malevolo era diventato il tipo di rilevamento più comune da settembre 2017. A ottobre 2017, Fortune ha suggerito che il cryptojacking sia la prossima grande minaccia alla sicurezza. Nel primo trimestre del 2018, abbiamo assistito a un aumento del 4.000 percento nelle rilevazioni di malware di cryptojacking su Android. 

Durante questo periodo, i cryptojacker hanno continuato a migliorare la loro tecnica, invadendo hardware sempre più potente. Un esempio è un incidente in cui dei criminali hanno fatto cryptojacking nella rete di tecnologia operativa di un sistema di controllo di un'azienda idrica europea, degradando l'abilità degli operatori di gestire l'impianto dell'azienda. In un altro caso, dallo stesso rapporto, un gruppo di scienziati russi avrebbe utilizzato il supercomputer nel loro impianto di ricerca e guerra nucleare per fare mining di Bitcoin. 

Più recentemente, mentre altri tipi di malware hanno aumentato la loro diffusione e raggiunto i titoli internazionali (ransomware nel 2021, ad esempio), il cryptojacking è diventato una sorta di minaccia principale. Nel nostro Rapporto sullo Stato del Malware del 2021, abbiamo notato che BitCoinMiner è rimasto la principale minaccia per le aziende per i computer Windows, e per i consumatori, i computer Mac in particolare hanno visto un aumento di ladri/minatori di criptovaluta.

Anche se il cryptojacking potrebbe non fare notizia quanto nel 2017 e 2018, rimane un modo relativamente a basso rischio per gli attori del crimine di guadagnare denaro dalle risorse di altre persone, quindi è importante proteggere i propri dispositivi da questo tipo di minaccia. 

Come posso proteggermi dal cryptojacking?

Che tu sia stato cryptojacked localmente sul tuo sistema o attraverso il browser, può essere difficile rilevare manualmente l'intrusione dopo il fatto. Allo stesso modo, trovare l'origine dell'alto utilizzo della CPU può essere difficile. I processi potrebbero nascondersi o mascherarsi come qualcosa di legittimo per impedirti di fermare l'abuso. Come bonus per i cryptojacker, quando il tuo computer funziona alla massima capacità, funzionerà ultra lentamente, e quindi sarà più difficile da risolvere. Come con tutte le altre precauzioni contro il malware, è molto meglio installare la sicurezza prima di diventare una vittima.

Un'opzione ovvia è bloccare JavaScript nel browser che usi per navigare in Internet. Anche se questo interrompe il cryptojacking drive-by, potrebbe anche impedirti di usare funzioni che ti piacciono e di cui hai bisogno. Ci sono anche programmi specializzati, come "No Coin" e "MinerBlock," che bloccano le attività di mining nei browser popolari. Entrambi hanno estensioni per Chrome, Firefox e Opera. Le ultime versioni di Opera hanno persino NoCoin integrato.

"Che gli attaccanti cerchino di usare malware, una drive-by download nel browser, o un Trojan, sei protetto contro il cryptojacking."

Tuttavia, il nostro consiglio è di evitare soluzioni create appositamente e cercare un programma di sicurezza informatica più completo. Malwarebytes Premium, per esempio, ti protegge da più del solo cryptojacking. Previene anche malware, ransomware, e molte altre minacce online. Che gli attaccanti cerchino di utilizzare malware, un download drive-by nel browser, o un Trojan (come Emotet), sei protetto contro il cryptojacking.

In uno scenario delle minacce che cambia continuamente, tenersi sicuri dalle ultime minacce come il cryptojacking è un lavoro a tempo pieno. Con Malwarebytes Premium, avrai i mezzi per rilevare e ripulire qualsiasi tipo di intrusione e assicurarti che le risorse del tuo computer restino solo tue.

(Per ulteriori letture, vedi “Come proteggere il tuo computer dal cryptomining dannoso” di Pieter Arntz.)

Notizie sul cryptojacking.