Tutto sul cryptojacking
Il cryptojacking (chiamato anche cryptomining maligno) è una minaccia online che si nasconde in un computer o in un dispositivo mobile e utilizza le risorse della macchina per "estrarre" forme di valuta online note come criptovalute. Le criptovalute dannose vengono spesso scaricate dal browser Web o da applicazioni mobili non funzionanti. Il cryptojacking può compromettere tutti i tipi di dispositivi, tra cui desktop, laptop, smartphone e persino server di rete.
Come la maggior parte degli altri attacchi dannosi al pubblico informatico, il motivo è il profitto, ma a differenza di molte minacce, è progettato per rimanere completamente nascosto all'utente. Per capire il meccanismo della minaccia e come proteggersi da essa, iniziamo con un po' di background.
Cosa sono le criptovalute?
Le criptovalute sono forme di denaro digitale che esistono solo nel mondo online, senza alcuna forma fisica. Sono state create come alternativa al denaro tradizionale e hanno guadagnato popolarità per il loro design lungimirante, il potenziale di crescita e l'anonimato. Una delle prime forme di criptovaluta di maggior successo, il Bitcoin, è stata lanciata nel 2009 e ha ottenuto il riconoscimento del mainstream negli anni successivi.
Il successo del Bitcoin ha ispirato decine di altre criptovalute che operano più o meno nello stesso modo. Forse conoscete nomi come Ethereum o Dogecoin, per esempio. Oggi le persone di tutto il mondo usano le criptovalute per comprare, vendere e fare investimenti.
Due parole - "crittografia" e "valuta" - si uniscono per formare la "criptovaluta", che è una moneta elettronica basata sui principi di una complessa crittografia matematica. Tutte le criptovalute esistono come unità monetarie decentralizzate e crittografate, liberamente trasferibili tra i partecipanti alla rete. In parole più semplici, le criptovalute sono elettricità convertita in linee di codice, che hanno un valore monetario reale.
Le unità di criptovaluta (chiamate "monete") non sono altro che voci di un database. Per effettuare una transazione che alteri il database, è necessario soddisfare determinate condizioni. Si pensi a come si tiene traccia del proprio denaro in un conto bancario. Ogni volta che si autorizzano trasferimenti, prelievi o depositi, il database della banca si aggiorna con le nuove transazioni. Le criptovalute funzionano in modo simile, ma con un database decentralizzato.
A differenza delle valute tradizionali, le criptovalute come il bitcoin non sono sostenute da un governo o da una banca specifica. Non esiste una supervisione governativa o un regolatore centrale delle criptovalute. È decentralizzata e gestita in più database duplicati simultaneamente su una rete di milioni di computer che non appartengono a una sola persona o organizzazione. Inoltre, il database delle criptovalute funziona come un libro mastro digitale. Utilizza la crittografia per controllare la creazione di nuove monete e verificare il trasferimento di fondi. Nel frattempo, la criptovaluta e i suoi proprietari rimangono completamente anonimi.
La natura decentralizzata e anonima delle criptovalute significa che non c'è un ente regolatore che decida la quantità di valuta da immettere in circolazione. Invece, il modo in cui la maggior parte delle criptovalute entra in circolazione è attraverso un processo chiamato "mining di criptovalute". Senza entrare troppo nel merito, il processo di mining trasforma essenzialmente le risorse di calcolo in monete di criptovaluta. All'inizio, chiunque avesse un computer poteva estrarre criptovalute, ma si è rapidamente trasformato in una corsa agli armamenti.
Oggi, la maggior parte dei minatori utilizza computer potenti e costruiti ad hoc per il mining di criptovaluta 24 ore su 24. In breve tempo, le persone hanno iniziato a cercare nuovi modi per estrarre criptovalute, ed è nato il cryptojacking. Invece di pagare un costoso computer per il mining, gli hacker infettano i normali computer e li usano come rete per eseguire i loro ordini.
Come si usano le criptovalute?
I proprietari di criptovalute conservano il loro denaro in "portafogli" virtuali, criptati in modo sicuro con chiavi private. In una transazione, il trasferimento di fondi tra i proprietari di due portafogli digitali richiede che una registrazione di questo scambio sia inserita nel libro mastro digitale pubblico decentralizzato. Computer speciali raccolgono i dati delle ultime transazioni di Bitcoin o di altre criptovalute ogni 10 minuti circa e li trasformano in un puzzle matematico. Lì, la transazione all'interno di un puzzle attende di essere confermata.
La conferma avviene solo quando i membri di un'altra categoria di partecipanti, chiamati minatori, risolvono in modo indipendente i complessi puzzle matematici che provano la legittimità della transazione, completando così la transazione dal proprietario di un portafoglio a un altro. In genere, un esercito di minatori lavora contemporaneamente al puzzle in una gara per essere il primo a fornire la prova che autentica la transazione.
Il minatore che per primo risolve il problema criptato riceve una ricompensa, di solito una certa quantità di nuove criptovalute. Questo approccio è stato concepito appositamente come incentivo per coloro che sacrificano il tempo e la potenza di calcolo dei loro computer per mantenere la rete e creare nuove monete. Poiché la complessità dei calcoli dei rompicapo è aumentata costantemente nel tempo (in particolare per il Bitcoin), i minatori hanno scoperto che anche i PC di fascia alta con un processore potente non potevano effettuare il mining in modo abbastanza redditizio da coprire i costi necessari.
I minatori hanno migliorato il loro gioco aggiungendo schede video sofisticate, a volte multiple, per gestire i calcoli più onerosi. Alla fine, i minatori che volevano rimanere competitivi sono arrivati a costruire enormi fattorie di computer con hardware dedicato per il mining di criptovalute su scala commerciale. Oggi siamo arrivati a questo punto: i giocatori seri di criptovalute investono grandi somme di denaro in una battaglia ad alta posta contro altri minatori per risolvere il puzzle per primi e reclamare la propria ricompensa.
La scalata a questo sforzo massiccio è una corsa agli armamenti estremamente costosa, che richiede molta potenza di elaborazione ed elettricità per aumentare le possibilità di profitto dei minatori. Ad esempio, prima che la Cina chiudesse le fattorie di criptovalute nel Paese, le bollette elettriche mensili avrebbero raggiunto gli 80.000 dollari.
Che cos'è il cryptojacking?
Il cryptojacking è uno schema per utilizzare i dispositivi delle persone (computer, smartphone, tablet o persino server), senza il loro consenso o la loro conoscenza, per estrarre segretamente criptovalute a spese della vittima. Invece di costruire un computer dedicato al cryptomining, gli hacker usano il cryptojacking per rubare le risorse di calcolo dai dispositivi delle loro vittime. Se si sommano tutte queste risorse, gli hacker sono in grado di competere con operazioni di cryptomining sofisticate senza il costoso overhead.
Se siete vittime di un cryptojacking, potreste non accorgervene. La maggior parte dei software di cryptojacking è progettata per rimanere nascosta all'utente, ma questo non significa che non stia pagando il suo tributo. Questo furto di risorse informatiche rallenta altri processi, aumenta le bollette dell'elettricità e riduce la vita del dispositivo. A seconda di quanto sia sottile l'attacco, si possono notare alcuni segnali di allarme. Se il vostro PC o Mac rallenta o utilizza la ventola di raffreddamento più del normale, potreste avere motivo di sospettare un cryptojacking.
La motivazione alla base del cryptojacking è semplice: il denaro. L'estrazione di criptovalute può essere molto redditizia, ma realizzare un profitto è ormai quasi impossibile senza i mezzi per coprire i costi elevati. Per chi ha risorse limitate e una morale discutibile, il cryptojacking è un modo efficace e poco costoso per estrarre monete preziose.
Come funziona il cryptojacking?
I Cryptojackers hanno più di un modo per schiavizzare il vostro computer. Un metodo funziona come un classico malware. Si fa clic su un link dannoso in un'e-mail e questo carica il codice di cryptomining direttamente sul computer. Una volta infettato il computer, il cryptojacker inizia a lavorare 24 ore su 24 per estrarre criptovalute rimanendo nascosto in background. Poiché risiede sul vostro PC, è una minaccia locale e persistente che ha infettato il computer stesso.
Un approccio alternativo al cryptojacking è talvolta chiamato drive-by cryptomining. Simile agli exploit pubblicitari dannosi, questo schema prevede l'incorporazione di un pezzo di codice JavaScript in una pagina web. Successivamente, esegue il mining di criptovaluta sui computer degli utenti che visitano la pagina.
Nei primi casi di cryptomining "drive-by", gli editori web presi dalla mania dei bitcoin cercavano di integrare le loro entrate e monetizzare il loro traffico chiedendo apertamente ai visitatori il permesso di fare mining di criptovalute mentre si trovavano sul loro sito. Lo spacciavano come uno scambio equo: voi ricevevate contenuti gratuiti mentre loro usavano il vostro computer per il mining.
Se vi trovate, ad esempio, su un sito di giochi, probabilmente rimarrete sulla pagina per qualche tempo mentre il codice JavaScript estrae monete. Poi, quando si esce dal sito, anche il cryptomining si spegne e libera il computer. In teoria, questo non è così negativo se il sito è trasparente e onesto su ciò che sta facendo, ma è difficile essere sicuri che i siti stiano giocando correttamente.
Le versioni più dannose del cryptomining drive-by non si preoccupano di chiedere l'autorizzazione e continuano a funzionare anche dopo aver lasciato il sito iniziale. Si tratta di una tecnica comune per i proprietari di siti dubbi o per gli hacker che hanno compromesso siti legittimi. Gli utenti non hanno idea che un sito che hanno visitato sta usando il loro computer per estrarre criptovalute. Il codice utilizza un numero di risorse di sistema sufficiente a passare inosservato. Anche se l'utente pensa che il browser visibile windows sia chiuso, uno nascosto rimane aperto. Di solito si tratta di un pop-under di dimensioni tali da poter essere inserito sotto la barra delle applicazioni o dietro l'orologio.
Il cryptomining drive-by può infettare anche il vostro dispositivo mobile Android . Funziona con gli stessi metodi che colpiscono i computer fissi. Alcuni attacchi avvengono tramite un trojan nascosto in un'applicazione scaricata. Oppure i telefoni degli utenti possono essere reindirizzati a un sito infetto che lascia un pop-under persistente. C'è persino un Trojan che invade i telefoni Android con un programma di installazione così nefasto che può sovraccaricare il processore fino al punto di surriscaldare il telefono, far gonfiare la batteria e, in sostanza, lasciare il vostro Android a morire. Questo è quanto.
Si potrebbe pensare: "Perché usare il mio telefono e la sua potenza di elaborazione relativamente bassa?". Ma quando questi attacchi avvengono in massa, il maggior numero di smartphone in circolazione rappresenta una forza collettiva che merita l'attenzione dei criptocriminali.
Alcuni professionisti della sicurezza informatica sottolineano che, a differenza della maggior parte degli altri tipi di malware, gli script di cryptojacking non danneggiano i computer o i dati delle vittime. Ma il furto di risorse della CPU ha delle conseguenze. Certo, un rallentamento delle prestazioni del computer potrebbe essere solo un fastidio per un singolo utente. Ma per le grandi organizzazioni che potrebbero aver subito molti sistemi cryptojackati, i costi sono reali. I costi dell'elettricità, della manodopera IT e le opportunità perse sono solo alcune delle conseguenze di ciò che accade quando un'organizzazione viene colpita dal cryptojacking drive-by.
Quanto è diffuso il cryptojacking?
Negli ultimi anni, il cryptojacking è diventato un tipo di minaccia abbastanza comune, con un'impennata di popolarità nel 2017 e nel 2018. Nel febbraio 2018, Malwarebytes Labs ha pubblicato che il cryptomining dannoso è diventato il tipo di rilevamento più comune dal settembre 2017. Nell'ottobre 2017, Fortune ha suggerito che il cryptojacking è la prossima grande minaccia alla sicurezza. Nel primo trimestre del 2018, abbiamo registrato un aumento del 4.000% dei rilevamenti di malware di cryptojacking basati su Android.
In questo periodo, i criptocriminali hanno continuato a migliorare il loro gioco, invadendo hardware sempre più potenti. Un esempio è rappresentato da un incidente in cui i criminali hanno crittografato la rete tecnologica operativa del sistema di controllo di un'azienda idrica europea, compromettendo la capacità degli operatori di gestire l'impianto. In un altro caso, riportato nello stesso rapporto, un gruppo di scienziati russi avrebbe utilizzato il supercomputer della propria struttura di ricerca e testata nucleare per estrarre Bitcoin.
Più di recente, mentre altri tipi di malware sono aumentati in prevalenza e hanno fatto notizia a livello internazionale(il ransomware nel 2021, per esempio), il cryptojacking è diventato un tipo di minaccia in qualche modo predominante. Nel nostro Rapporto sullo stato delle minacce informatiche del 2021, abbiamo notato che BitCoinMiner rimane la principale minaccia per le aziende per i computer Windows , mentre per i consumatori, i computer Mac in particolare hanno visto un aumento dei pirati informatici di criptovaluta.
Anche se il cryptojacking non sta facendo notizia come nel 2017 e nel 2018, rimane un modo relativamente poco rischioso per gli attori delle minacce di fare soldi sfruttando le risorse altrui, quindi è importante proteggere i dispositivi da questo tipo di minaccia.
Come posso proteggermi dal cryptojacking?
Sia che il cryptojacking sia avvenuto localmente sul sistema o attraverso il browser, può essere difficile rilevare manualmente l'intrusione dopo il fatto. Allo stesso modo, può essere difficile individuare l'origine dell'elevato utilizzo della CPU. I processi potrebbero nascondersi o mascherarsi da qualcosa di legittimo per impedirvi di fermare l'abuso. Come bonus per i cryptojackers, quando il computer funziona al massimo delle sue capacità, sarà ultra lento e quindi più difficile da risolvere. Come per tutte le altre precauzioni contro il malware, è molto meglio installare la sicurezza prima di diventare una vittima.
Un'opzione ovvia è quella di bloccare JavaScript nel browser che utilizzate per navigare sul web. Sebbene questo interrompa il cryptojacking drive-by, potrebbe anche bloccare l'utilizzo di funzioni che vi piacciono e di cui avete bisogno. Esistono anche programmi specializzati, come "No Coin" e "MinerBlock", che bloccano le attività di mining nei browser più diffusi. Entrambi dispongono di estensioni per Chrome, Firefox e Opera. Le ultime versioni di Opera hanno addirittura NoCoin integrato.
Tuttavia, il nostro suggerimento è di evitare una soluzione ad hoc e di cercare un programma di cybersecurity più completo. Malwarebytes PremiumIl programma di sicurezza informatica di A.S.I., ad esempio, protegge l'utente da molto più che un semplice cryptojacking. Previene anche malware, ransomware e molte altre minacce online. Sia che gli aggressori tentino di utilizzare un malware, un drive-by basato sul browser download, o un Trojan (come Emotet), siete protetti dal cryptojacking.
In un panorama di minacce in continua evoluzione, stare al sicuro dalle minacce più recenti come il cryptojacking è un lavoro a tempo pieno. Con Malwarebytes Premiumavrete i mezzi per rilevare e ripulire qualsiasi tipo di intrusione e garantire che le risorse del vostro computer rimangano solo vostre.
(Per ulteriori informazioni, vedere "Come proteggere il computer dal cryptomining maligno" di Pieter Arntz).
Notizie sul cryptojacking
- Portafoglio freddo, portafoglio caldo o portafoglio vuoto?
- Contenitori di Cryptomining sorpresi a coniare criptovalute di nascosto
- Una falsa app di Trezor ruba più di un milione di dollari di criptovalute
- Il nuovo cryptominer Mac Malwarebytes rileva come Bird Miner funzioni emulando Linux
- Il cryptojacking nell'era post-Coinhive
- La campagna di cryptomining drive-by prende di mira milioni di utenti di Android
- Come proteggere il computer dal cryptomining dannoso
- Il cryptomining persistente drive-by in arrivo su un browser vicino a voi
- Uno sguardo al fenomeno globale del mining di criptovalute "drive-by
- Uno sguardo agli attacchi lato client di Drupalgeddon
- Lo stato del cryptomining maligno
- Rapinatori di banche 2.0: furto digitale e criptovalute rubate