I cryptominer sono ora molto più diffusi dei ransomware

(in) Sicuro è una rubrica settimanale che approfondisce il tema in rapida espansione della sicurezza informatica.

Guadagnare da mining di criptovalute non è solo qualcosa che le persone fanno con il proprio hardware, gli autori di malware hanno anche creato software dannoso per far sì che altre persone facciano il lavoro duro su di loro – e non intendiamo estrazione nel cloud. Sebbene ciò rappresenti una nuova moda nel campo della paternità del malware, potrebbe non durare a lungo in questa veste.

Nel nostro cronologia della funzionalità malware, abbiamo esaminato il modo in cui il malware tende a diffondersi a ondate. Sebbene l’ultimo e il più pericoloso degli ultimi tempi sia stato il ransomware, è stato spinto lontano dal primo posto tra i ransomware attacchi negli ultimi mesi dovuti all'avvento dei cryptominer, che cercano di forzare i sistemi infetti a estrarre criptovaluta direttamente. Sebbene negli ultimi tempi abbia registrato un trend positivo, come il valore delle criptovalute stesse, si tratta di un tipo di malware che sembra già essere in declino.

Digital Trends ha parlato con alcuni eminenti esperti di sicurezza digitale per scoprire cosa significherà questo nel prossimo futuro futuro del malware e come pensano che il malware di cryptomining potrebbe apparire nei mesi e negli anni a venire.

Nessun re incoronato dura per sempre

"Poiché i criminali informatici sono sempre motivati ​​dal punto di vista finanziario, il cryptojacking è un altro metodo con cui possono generare entrate", ha affermato Liviu Arsene, analista senior di E-Threat presso BitDefender. "Attualmente, sta superando le segnalazioni di ransomware di un fattore da 1 a 100, e questi numeri continueranno ad aumentare finché le valute virtuali rimarranno popolari e il mercato lo richiederà."

Queste statistiche sono state supportate da MalwareByte rapporto trimestrale sul malware. Ha osservato che il cryptomining è diventato uno dei malware più comuni negli ultimi mesi. Si suggerisce che sia aumentato fino al 4.000% nel settore dei consumi nell'ultimo trimestre. Stava crescendo anche nel settore aziendale, con un aumento del 27% dei rilevamenti complessivi nell’ultimo trimestre.

Questo aumento l’ha resa la seconda infezione digitale più comune. MalwareBytes ha notato negli ultimi tre mesi, restando appena dietro agli adware. In confronto, il ransomware, che ha rappresentato una grave minaccia negli ultimi anni, ha registrato un notevole calo nello spazio dei consumatori, scendendo del 35%.

Parte di ciò potrebbe avere a che fare con il targeting più sofisticato del ransomware nelle aziende e in grandi dimensioni aziende, ma è anche possibile che i principali produttori di software ransomware siano stati bloccati nella loro brani.

"C'era un grande arresto l'anno scorso, probabilmente era quello creatori di cerber, la più grande famiglia di ransomware dell'epoca", ci ha detto Adam Kujawa, responsabile dell'intelligence malware di MalwareBytes. “Se così fosse, è logico che quella particolare famiglia di malware scomparirebbe. Dopodiché abbiamo visto un paio di nuove famiglie, ma niente che venga distribuito allo stesso livello”.

Da allora, Kujawa ha osservato che MalwareBytes aveva registrato un calo generale nella distribuzione del ransomware e che ciò era indicativo di un cambiamento di direzione del mercato.

Profilo di un nuovo predatore

Sebbene i vecchi strumenti come adware e spyware siano ancora più diffusi del cryptojacking, il nuovo arrivato è rapidamente diventato una delle minacce più comuni viste. Gli autori di malware prenderanno un minatore di criptovaluta disponibile gratuitamente destinato all'utilizzo da parte dei consumatori e lo modificheranno in modo che funzioni silenziosamente su un sistema, rendendolo più difficile da rilevare e quindi dandogli più tempo per generare entrate per l'autore prima che lo sia scoperto. Il malware viene quindi solitamente distribuito insieme ad altre forme di malware come un kit di exploit che ne consente l'installazione.

Ma anche se non scarichi un file dannoso o non fai clic su un collegamento sospetto, i siti Web stessi possono forzare la tua macchina nelle miniere di criptovalute, come quelle estremamente diffuse Incidente CoinHive dall'inizio di quest'anno.

"Il cryptojacking basato su browser sta diventando molto popolare tra i criminali informatici, soprattutto quando sono preoccupati gli utenti finali", ha spiegato Arsene di BitDefender. “Implementalo all’interno di siti Web legittimi e ad alto traffico dopo che è stata violata la loro sicurezza, ha effetto immediato ritorno sull'investimento poiché ogni visitatore estrarrà la criptovaluta per tutto il tempo in cui il minatore basato su script rimane sul server."

Anche il cryptomining ha alcune caratteristiche uniche, rispetto ad altre soluzioni malware commerciali. Per cominciare, è quasi indipendente dalla piattaforma, con infezioni che spuntano su Mac e Androide dispositivi e PC Windows. Kujawa ha dichiarato a Digital Trends che solo negli ultimi tre mesi sono comparsi circa 1.000 nuovi cryptominer mirati ai Mac.

Allora, qual'è il problema?

Se il cryptomining non è particolarmente intelligente o mirato, è forse qualcosa di cui dobbiamo preoccuparci troppo? Se il computer di una vittima funziona lentamente mentre si trova su un sito Web infetto, anziché crittografare i file o identità rubata, non sarebbe meglio per tutti se gli autori di malware si concentrassero su questo tipo di attacco piuttosto che altro quelli tradizionali?

"La diffusione dei cryptominer non si avvicina affatto allo stato di 'panico di tutti' [come] quando venne fuori per la prima volta la crittografia del ransomware", ha detto Kujawa. "Vorrei che ci fossero minatori ovunque, questo è tutto ciò con cui abbiamo a che fare, e nessun ransomware o ladro di informazioni."

Arsene di BitDefender è d'accordo, fino a un certo punto, suggerendo che in superficie il cryptojacking era relativamente benigno. Tuttavia, per quanto questo tipo di malware possa rappresentare una minaccia minore rispetto ad altri tipi, ciò non significa che non abbia il potenziale per danneggiare o mascherare minacce più gravi.

Una di queste minacce per le aziende è la perdita di produttività, come ha spiegato Justin Dolly, CSO e CIO di MalwareBytes. Se lasciati deselezionati, i cryptominer possono anche causare danni all’hardware. Come ha scoperto MalwareBytes quando uno dei suoi sistemi di trappola malware è stato infettato da un numero di minatori.

“Dopo la mania del cryptomining [l’anno scorso], uno dei nostri sistemi ha avuto il suo scheda grafica fritto, a causa del numero di minatori impegnati nell’analisi di questo sistema”, ha detto Kujawa. "[Loro] avrebbero accelerato i cicli della GPU e della CPU e l'avrebbero semplicemente ucciso, quindi abbiamo dovuto sostituire le schede grafiche."

Forse il rischio più grande legato al cryptomining è che può essere utilizzato insieme ad altri tipi di malware. Immagina un attacco ransomware in cui l'utente sta cercando di capire come decrittografare i propri file, il suo PC sta estraendo e facendo guadagnare agli aggressori ancora più denaro.

“Se una vittima è stata compromessa utilizzando una vulnerabilità senza patch o tramite un attacco fileless, il fatto che che la vittima utilizzi un software di mining di criptovaluta è l'ultimo dei suoi problemi", ha affermato BitDefender Arsene. "Tecnicamente, l'aggressore avrebbe potuto distribuire qualsiasi carico utile, dal malware di keylogging al malware per l'esfiltrazione di dati."

Anche se il malware di cryptomining non porta con sé tutta una serie di altri problemi, c’è sempre la possibilità che in alcuni sistemi non venga rilevato per mesi o addirittura anni.

Quanto durerà l'onda?

Il cryptomining potrebbe essere più pericoloso di quanto sembri, ma come tutti gli altri tipi di malware, probabilmente avrà il suo periodo di massimo splendore. In effetti, poiché i valori delle criptovalute sono diminuiti dalla fine del 2017, anche i casi di cryptojacking sono diminuiti. Anche se i numeri complessivi potrebbero essere superiori a quelli dello scorso trimestre, sono inferiori al loro picco, come mostra l’ultimo rapporto sul malware di Malwarebytes.

"Il cryptojacking è sicuramente qui per restare", ha detto Arsene di BitDefender. "Questi numeri continueranno ad aumentare finché le valute virtuali rimarranno popolari e il mercato lo richiederà."

Un’altra questione interessante che ha sollevato è che con l’aumento della difficoltà di mining di varie criptovalute, potrebbe essere molto più redditizio convincere altri a fare il duro lavoro per te.

"Poiché l'estrazione di criptovalute diventerà sempre più costosa utilizzando l'hardware privato di qualcuno, questo probabilmente alimenterà la necessità di creare piattaforme minerarie composte da grandi botnet, alimentando così la minaccia del cryptojacking”, ha disse.

Anche questo è qualcosa che MalwareBytes ritiene abbia un grande potenziale. Soprattutto se si considerano alcuni dei enormi botnet guidate dall’IoT abbiamo visto negli ultimi anni. Ma alla fine tutto dipende dal fatto che valga davvero la pena continuare a investire in quella strada di paternità del malware.

Anzi, per le aziende di sicurezza digitale è più facile quando si verifica una nuova tendenza. Sanno su cosa devono concentrarsi nell’immediato futuro. Ma ora che i cryptominer potrebbero aver raggiunto il picco, gli esperti non sono sicuri di cosa aspettarsi dopo.

“Questo è un momento anomalo in questo momento, e questa è la parte più spaventosa”, ha detto Kujawa. "La parte spaventosa è non sapere dove andranno i criminali quando le criptovalute non li interesseranno più."

Raccomandazioni degli editori

• Gli attacchi ransomware hanno registrato un’impennata massiccia. Ecco come stare al sicuro
• Gli hacker scendono a un nuovo minimo rubando account Discord in attacchi ransomware
• Non cadere in questa subdola nuova truffa di Microsoft Office
• Le bande di ransomware si stanno evolvendo in modi nuovi e pericolosi
• Questo ricercatore ha appena battuto le bande di ransomware al loro stesso gioco