Il mercato delle cryptovalute sta vivendo alti e bassi ma nonostante le impennate e gli improvvisi crolli il bitcoin ha cambiato significativamente l’economia globale e con esso anche il mercato della sicurezza informatica. Non è un segreto che gli hacker hanno iniziato a utilizzare software di mining che, come i ransomware, hanno un semplice modello di monetizzazione. L’obiettivo? Guadagnare cryptovalute.
A differenza del ransomware, però questi sistemi di mining non danneggiano i dispositivi degli utenti e sono in grado di rimanere a lungo nascosti sfruttando silenziosamente la potenza di calcolo dei PC. Kaspersky Lab ha registrato un aumento di miner che hanno iniziato a diffondersi attivamente in tutto il mondo e si prevede un’ulteriore crescita.
I ricercatori di Kaspersky Lab hanno recentemente identificato un gruppo di cyber criminali che utilizzava tecniche Apt (Advanced Persistent Threat) per infettare gli utenti con miner. Il metodo utilizzato è quello del process-hollowing, solitamente utilizzato per i malware e già visto in alcuni attacchi mirati da parte di gruppi Apt, che fin ad ora non era ancora stato osservato in attacchi di mining.
L’attacco funziona così: la vittima viene indotta a scaricare e installare un software pubblicitario in cui è nascosto l’installer del miner. Questo programma di installazione utilizza una utility legittima di Windows per scaricare il miner da un server remoto. Dopo l’esecuzione, viene avviato un processo di sistema legittimo e il codice (legittimo) di questo processo viene modificato in codice dannoso. Di conseguenza, il miner opera sotto le sembianze di un task legittimo e per un utente sarà impossibile riconoscere se ha subito un’infezione da mining e anche per le soluzioni di sicurezza è difficile rilevare questa minaccia. Inoltre, i miner “marcano” questo nuovo processo in modo da renderne difficile la cancellazione. Se l’utente tenta di interrompere il processo, il sistema si riavvierà. Così, i criminali proteggono la loro presenza nel sistema per un tempo più lungo e più produttivo.
In base alle osservazioni di Kaspersky Lab, gli autori di questi attacchi, nella seconda metà del 2017, hanno estratto la cryptovaluta Electroneum e guadagnato quasi 7 milioni di dollari, il che è paragonabile alle somme che erano soliti guadagnare i creatori di ransomware.
“Il ransomware sta passando in secondo piano, lasciando il posto al mining – spiega Anton Ivanov, Lead Malware Analyst di Kaspersky Lab – La conferma viene dalle nostre statistiche che, durante l’anno, mostrano una crescita costante dei miner: i gruppi di cyber criminali stanno sviluppando attivamente i loro metodi e hanno già iniziato a utilizzare tecniche più sofisticate per diffondere software di data mining. La stessa evoluzione aveva riguardato gli hacker dei ransomware nella fase di crescita del fenomeno”.
Secondo i dati di Kaspersky Lab, complessivamente, nel 2017, 2,7 milioni di utenti sono stati attaccati da miner dannosi. Questo equivale ad un aumento del 50% in più rispetto al 2016 (1,87 milioni). Le vittime sono state colpite attraverso adware, giochi craccati e software pirata usati dai criminali informatici per infettare segretamente i loro Pc. Un altro approccio utilizzato è stato il web mining, attraverso un codice speciale inserito in una pagina Web infetta: il più diffuso è stato CoinHive, scoperto su molti siti web noti.
