Il cryptojacking, l'infezione di computer con malware per estrarre criptovalute, ha visto i prezzi scendere insieme al cryptojacking. Il virus e i suoi propagatori si stanno adattando, proprio come qualsiasi altro organismo astuto che rischia l'estinzione. Secondo Symantec, gli episodi di cryptojacking sono diminuiti del 52% tra gennaio 2018 e gennaio 2018, ma i metodi di consegna, esecuzione e puntamento sono diventati più sofisticati.
Systematec
L'ultimo rapporto di Symantec si è concentrato su Beapy. Si tratta di una campagna di cryptojacking che prende di mira le aziende e le imprese in Asia. Il virus si diffonde via e-mail utilizzando un exploit software chiamato EternalBlue, sviluppato dalla NSA degli Stati Uniti. Symantec ha notato per prima la minaccia nel gennaio di quest'anno.
Il virus ha infettato oltre 2.000 dispositivi nel mese di marzo e da allora ha continuato ad aumentare costantemente.
"Questa campagna dimostra che il cryptojacking è meno popolare tra i criminali informatici rispetto al picco del 2018, ma è ancora un punto focale per alcuni di loro, con le aziende che ora sono il loro obiettivo principale", si legge nell'introduzione al rapporto.
Grafico Symantec
Il rapporto afferma che il 98% è infettato da ransomware. Questo dato è coerente con le tendenze del 2018 per quanto riguarda gli attacchi ransomware, dove una diminuzione delle minacce complessive è stata correlata a un aumento delle infezioni focalizzate sulle aziende. Allan Neville, analista di Symantec Threat Intelligence, ha dichiarato che questi attacchi possono "rendere inutilizzabili alcuni dispositivi a causa dell'elevato utilizzo della CPU".
La Cina è l'obiettivo principale di questo attacco, che ha superato tutti gli altri Paesi colpiti con un'incredibile quota dell'83%. Tra gli altri Paesi colpiti figurano Giappone, Corea del Sud e Hong Kong, Taiwan e Bangladesh, Filippine e - gli unici due dell'emisfero orientale - Giamaica e Giappone.
Strategia di infezione del virus
I fogli di calcolo Excel infetti diffondono il virus nei computer Windows. Una volta aperto, il foglio di calcolo apriva una backdoor nel sistema operativo del computer. Il virus si avvaleva dell'exploit DoublePulse, anch'esso trapelato nello stesso lotto di strumenti informatici che ha fornito agli aggressori il vettore EternalBlue.
I file del virus potrebbero essere diffusi "lateralmente attraverso le reti" sfruttando una debolezza del protocollo Server Message Block di Windows.
Il malware di mining ruba anche credenziali come nomi utente e password dai dispositivi infetti per diffondersi ad altri computer all'interno di una rete. L'azienda ha anche scoperto le versioni di Beapy su un server pubblico utilizzando un elenco di indirizzi IP per creare una hitlist di potenziali vittime.
Più di prima, più di prima
Uno dei risultati più sorprendenti dello studio è che Beapy si differenzia dal malware di cryptojacking utilizzato quando le infezioni hanno raggiunto il loro picco all'inizio del 2018.
Queste campagne hanno utilizzato in gran parte minatori basati su browser. Questi virus utilizzavano il protocollo Coinhive per estrarre Monero per beneficenza. Questo protocollo è stato utilizzato dall'UNICEF e da altri siti come l'UNICEF. Il rapporto suggerisce che Coinhive ha chiuso le operazioni nel marzo 2019 a causa del forte calo di Monero nel mercato orso e del costante declino del cryptojacking.
Beapy non si affida al browser mining e utilizza invece un approccio più redditizio e complesso di file mining. Il file mining è più efficiente del browser mining e può dare un rendimento maggiore rispetto a quest'ultimo. Ad esempio, il rendimento medio di 30 giorni di questa tecnica potrebbe fruttare ai blackhats del virus $750.000. Questo fa sì che il ritorno del browser mining appaia misero, pari a $30.000.
Immagine per gentile concessione di Symantec
Neville ha affermato che il coinmining basato su file non è nuovo, nonostante sia in aumento. È solo "passato in secondo piano rispetto al cryptomining basato su browser negli ultimi due anni" perché richiede meno competenze tecniche.
Ha aggiunto: "Il lancio di Coinhive - e dei suoi script già pronti - ha abbassato ulteriormente questa barriera".
Un computer può comunque eseguire il browser mining anche se è protetto dal virus.
Neville ha dichiarato che è troppo presto per sapere se ci sarà una rinascita del mining basato su file rispetto a quello basato su browser. Tuttavia, il rilevamento e la protezione contro i Coinminer miglioreranno, quindi i criminali informatici inizieranno a cercare "flussi di reddito alternativi".
"Man mano che i criminali informatici migliorano le loro tattiche, abbiamo anche osservato che il loro approccio diventa più specifico".
Difendersi dalla minaccia
Il rapporto si conclude elencando gli effetti collaterali delle infezioni da cryptojacking, come il surriscaldamento del dispositivo, il consumo eccessivo della batteria e il possibile degrado del dispositivo.
Il documento illustra inoltre le misure di sicurezza che le aziende possono adottare per proteggersi da tali attacchi. Le aziende possono utilizzare soluzioni di sicurezza a livello hardware e software, tra cui firewall, valutazioni delle vulnerabilità, password robuste e autenticazione a più fattori.
La formazione è fondamentale per i dipendenti. Il rapporto insegna a conoscere il cryptojacking e come individuarlo. Molti di questi punti sono stati ribaditi da Neville al termine della nostra corrispondenza.
Le aziende devono assicurarsi che i dipendenti siano addestrati a riconoscere e segnalare le e-mail di phishing inviate da chi distribuisce malware. Dovrebbero inoltre implementare sistemi difensivi che si sovrappongano e si supportino a vicenda per proteggersi da guasti di un singolo punto in qualsiasi tecnologia o metodo di protezione. Ciò include l'implementazione di tecnologie di protezione degli endpoint, del web e della posta elettronica, firewall e soluzioni di valutazione delle vulnerabilità. È importante mantenere questi sistemi di sicurezza aggiornati con le protezioni più recenti e garantire che i sistemi siano protetti da exploit come EternalBlue.