Come funziona
Le blockchain utilizzano diversi algoritmi di consenso per garantire che il processo di creazione dei blocchi sia decentralizzato. Nelle blockchain come Bitcoin, Monero e molte altre, l'algoritmo di consenso utilizzato è il Proof of Work (PoW).
In PoW, un blocco valido è definito come quello la cui intestazione ha un valore di hash inferiore a un determinato valore. Poiché le funzioni hash sono imprevedibili, l'unico modo per trovare un blocco valido è provare varie opzioni e cercare di ottenere quella giusta. Nel caso di Bitcoin, la soglia è impostata in modo che l'intera rete, lavorando insieme, trovi un blocco valido in media ogni dieci minuti. Il minatore che trova il blocco valido riceve la ricompensa.
Il malware Crypto infetta un computer e lo utilizza per eseguire la ricerca di possibili blocchi. Se il malware trova un blocco valido, l'attaccante può inviarlo e ricevere la ricompensa.
Esempi di malware crittografico
Il malware di cryptomining è cresciuto in popolarità perché offre ai criminali informatici un modo per guadagnare direttamente dal controllo di un sistema. Alcuni dei principali esempi di malware crittografico descritti nel Report di metà anno 2022 cyber attack Trends di Check Point includono:
- XMRig: XMRig è un malware di cryptojacking open-source che viene comunemente incorporato in altri tipi di malware. È progettato per estrarre la criptovaluta Monero o Bitcoin.
- Rubyminer: Rubyminer è stato scoperto nel gennaio 2018 e si concentra sui server, sia Windows che Linux. Rubyminer cerca i server web vulnerabili e fornisce XMRig per estrarre Monero.
- LemonDuck: il malware LemonDuck è emerso nel 2018 e utilizza vari metodi di propagazione, tra cui il malspam, lo sfruttamento delle vulnerabilità e l'uso di credenziali compromesse per accedere tramite RDP. Oltre al mining di criptovaluta, raccoglie anche le credenziali delle e-mail e consegna altri malware ai computer infetti.
- Darkgate: Darkgate è una variante di malware scoperta per la prima volta nel dicembre 2017 che prende di mira principalmente i sistemi Windows. Questo malware combina molteplici funzioni, tra cui il cryptomining, il ransomware, il furto di credenziali e la funzionalità di trojan ad accesso remoto (RAT).
- WannaMine: WannaMine estrae la criptovaluta Monero. Questo cryptominer è un worm che si diffonde usando EternalBlue e utilizza le sottoscrizioni di eventi permanenti di Windows Management Instrumentation (WMI) per ottenere la persistenza su un sistema.
Come rilevare il malware crypto mining
Il malware di cryptomining è progettato per consumare una potenza di elaborazione significativa mentre cerca i potenziali candidati per l'intestazione di un blocco. Di conseguenza, un computer infetto può mostrare uno dei due segni seguenti:
- Aumento del consumo di risorse.
- Lentezza di computer e server
Come prevenire gli attacchi di malware crittografico
Il malware di cryptomining può essere redditizio perché consente agli aggressori di accedere a una grande quantità di potenza di elaborazione da utilizzare per il mining di criptovalute. Tuttavia, ciò avviene a spese delle aziende che pagano il conto per l'attività di mining che si svolge sui loro sistemi. Alcune misure che un'azienda può adottare per evitare che i suoi sistemi vengano cooptati per il cryptomining includono:
- Applicazione di patch e sistemi: Diverse varianti di malware di cryptomining vengono distribuite sfruttando le vulnerabilità nei sistemi di un'organizzazione. L'applicazione tempestiva delle patch per chiudere queste falle di sicurezza può ridurre la probabilità di infezione.
- Patchare virtualmente con l'IPS: La patch di ogni vulnerabilità non è fattibile per la maggior parte delle organizzazioni. Il sistema di prevenzione delle intrusioni (IPS) può aiutare a scalare i programmi di patch, bloccando i tentativi di exploit contro i sistemi vulnerabili.
- Implementare l'MFA: l' utilizzo di credenziali compromesse su RDP o altre piattaforme di accesso remoto è un altro vettore comune di diffusione del malware. L'implementazione di un'autenticazione forte e la distribuzione dell'autenticazione a più fattori (MFA) possono rendere più difficile per gli aggressori l'utilizzo di queste credenziali compromesse.
- Implementare la protezione Zero-Day: Il malware di cryptomining può essere un'attività redditizia e i criminali informatici investono risorse significative per eludere il rilevamento. Le capacità di rilevamento del malware zero-day sono essenziali per evitare che il malware crittografico acceda ai sistemi di un'organizzazione e ne rubi le risorse.
- Proteggere il cloud: I sistemi basati sul cloud sono un bersaglio comune per i cryptominer, grazie alla loro potenza di elaborazione flessibile e scalabile e alla visibilità limitata ai team IT. Le aziende devono prestare particolare attenzione a bloccare questi sistemi per proteggerli dai cryptominer.
Feedback