Sul finire del 2017 c’è stato grande movimento nel mercato delle criptovalute, tanto che il Bitcoin ha raggiunto lo stratosferico valore di 18.000 USD, creando una specie di corsa all’oro in cui tanti cercavano di trarre profitto dalla situazione. Come effetto collaterale si è sviluppato un nuovo tipo di malware, il cryptojacking.
Cryptojacking nasce dall’unione di due parole, “cryptocurrency” e “Hijacking”. In parole povere, un pc, dispositivo mobile o server viene utilizzato per “minare” criptovalute per conto di qualcun altro. Questo tipo di malware non trattiene i dati in ostaggio come accade col ransomware, ma il suo scopo è rubare potenza di calcolo. Ciò perché minare criptovalute richiede calcoli estremamente complessi per generare gli hash necessari per guadagnare il premio virtuale.
Che conseguenze può avere il cryptojacking?
Il mining delle criptovalute deve bilanciare profittabilità e costi. Quando un cybercriminale usa un malware per il cryptojacking tutto il costo viene spostato sul dispositivo della vittima. Il costo per alimentare la CPU ricade sull’utente che in molti casi non è nemmeno consapevole dell’attività illecita.
Il malware di cryptojacking può interessare qualsiasi dispositivo capace di eseguire i calcoli matematici necessari per minare le criptovalute. Poiché un singolo dispositivo difficilmente è in grado di minare grandi quantità di criptovalute, i criminali cercano di schiavizzare quanti più dispositivi possibile per massimizzare i loro profitti. Per questo motivo, è opportuno sapere come vengono usate le risorse di calcolo.
Monitoraggio del malware
In Paessler è stato recentemente documentato un caso in cui PRTG Network Monitor monitorava siti ben noti infettati con un malware di cryptojacking. PRTG ha permesso di monitorare costantemente i siti infetti, segnalando quando il malware veniva rimosso. Lo stesso principio si applica alle infrastrutture di rete delle aziende, sia che si tratti di un server locale sia di una macchina virtuale nel cloud. PRTG fornisce dati preziosi che mettono in allarme prima che la bolletta elettrica si gonfi a dismisura o che le risorse cloud siano esaurite.
Impostare il monitoraggio delle risorse in PRTG è semplice, in quanto la soluzione offre una serie di sensori CPU per molti dei principali fornitori e delle principali applicazioni. Per gli utenti Windows è consigliabile usare i sensori WMI per il monitoraggio delle CPU. Per gli utenti Linux PRTG mette a disposizione due sensori per il monitoraggio dell’uso della CPU: SNMP e SSH. Molti dispositivi supportano questi protocolli comuni e il setup è questione di pochi minuti. Anche i fornitori cloud sono supportati da PRTG: i sensori Amazon CloudWatch ad esempio forniscono una gran quantità di informazioni per monitorare l’uso della CPU e i crediti EC2 CPU.
Ogni tipo di sensore può essere personalizzato nella configurazione più adatta a ciascun requisito operativo. Ad esempio, se si sa che un server normalmente gira al 60% della potenza della CPU, è possibile modificare la soglia affinché l’allarme sia generato solo al superamento di essa. Nel caso del malware di cryptojacking è importante monitorare un uso intenso e continuativo della CPU e non solo i picchi occasionali. PRTG permette di stabilire la durata richiesta (poll cycle) di downtime prima di lanciare l’allarme.
Altre misure
Oltre a monitorare l’infrastruttura con PRTG, è consigliabile impedire il cryptojacking a livello della rete bloccando quegli indirizzi IP e domini che sono notoriamente collegati ad attività illecite di cryptomining. Una lista frequentemente aggiornata di questi domini è disponibile tramite CoinBlockerLists. La protezione degli endpoint è un altro elemento chiave per impedire che il cryptojacking abbia luogo tramite un browser web. Per quanto molti degli antivirus aziendali oggi siano in grado di bloccare la maggior parte del malware di cryptojacking, è importante usare l’estensione minerBlock sul browser per garantire la massima protezione.
Il cryptojacking è un fenomeno destinato a non sparire in breve tempo. Ma con una protezione e un monitoraggio adeguati il rischio sarà sicuramente ridotto ai minimi termini.