Dal ransomware alle criptovalute, I rischi per gli utenti e come combatterli

115
software di mining
adv

Un vero tormentone degli ultimi mesi è stato quello dei ransomware e delle modalità più adatte per rimuoverli dai propri computer o siti web.

Dietro un nome così spaventoso, vero incubo per gli internauti di tutto il mondo, si nasconde un concetto in verità abbastanza semplice.

Un ransomware è infatti un comune malware, anche se, si può dire, con risvolti “criminosi”. Si tratta infatti di un malware che limita l’accesso del dispositivo infettato, richiedendo un vero e proprio riscatto (dall’inglese ransom) che l’utente andrà a pagare per rimuovere la limitazione.

Alcuni di loro bloccano momentaneamente il sistema, intimando l’utente a pagare per “liberarlo”. Altri cifrano alcuni file del computer, chiedendo soldi per riportarli “in chiaro”. I primi attacchi sono partiti dalla Russia, ma si sono diffusi rapidamente in tutto il mondo, tanto che nel 2013, la casa software McAfee ha rilasciato dei dati che spiegavano come, solo nei primi tre mesi del 2013, fossero stati individuati oltre 250 mila tipi di ransomware, più del doppio che nei primi tre mesi dell’anno precedente.

Prima di essere debellati, alcuni di loro sono arrivati a guadagnare, tramite i riscatti, fino a due o tre milioni di dollari.

Terminata la minaccia ransomware, ora è tempo delle criptovalute. Parliamo, in questo caso, di miner occultati all’interno di alcuni siti web, che riescono a individuare e sfruttare le risorse dei computer dei visitatori dei siti web, naturalmente a loro insaputa. Un ricercatore di sicurezza indipendente, Willem de Groot, ha individuato quasi tremila siti web che ospitano (va detto, per la maggior parte a loro insaputa) il cosiddetto Criptominer di Monero, la nona “criptovaluta” per quantità di soldi ottenuti sul mercato.

Si tratta, come evidenziato dalla ricerca, di siti che operano attraverso dei sistemi obsoleti, e che quindi, spesso per mancanza di aggiornamenti, sono esposti consapevolmente a problemi di sicurezza e vulnerabilità, deficienze sfruttate dai web-criminali per ottenere il controllo del sito e successivamente dei computer dei loro utenti.

Esistono, addirittura alcune realtà che propongono questo servizio come un sistema alternativo per i siti web per monetizzare, rispetto ai meno redditizi banner e alle pubblicità. Un vero e proprio investimento, insomma, per tirar fuori dei soldi dal traffico web, sfruttando la forza e le potenzialità delle cripto valute: è il caso di Coinhive.com, che mette a disposizione una interfaccia di programmazione alla portata sia di chi ha intenzione di integrare un meccanismo del genere nel sito che gestisce, sia di terze parti che recano scopi malevoli come per esempio quello di infettare altrui siti web. In questo modo il computer del visitatore del sito viene trasformato in un piccolo miner di criptovalute, i cui proventi arrivano direttamente nelle tasche di Coinhive e in più piccola percentuale al titolare di un account sulla piattaforma. Inutile dire che l’utente “piratato”, e le cui risorse vengono sfruttate in maniera occulta, non riceve alcun compenso.

È anche per questo che Coinhive non richiede mai che i siti su cui sono presenti i propri script debbano informare i visitatori sull’uso aggiuntivo delle risorse. Semplicemente, quando lo script entra in funzione, drena la capacità elaborativa del processore, comportando in primo luogo un maggior consumo del sistema e quindi in un secondo momento un aumento rilevante dei costi sulla bolletta. Parliamo (secondo uno studio effettuato da SpiderLabs) di un costo mensile di circa dodici euro, per un utente che dispone di un sistema desktop “ordinario” minato dalla criptovalute, senza contare i costi insisti nel deteroriamento dell’hardware, sottoposto a un carico di lavoro a cui, in molti casi, non è preparato, e soprattutto per il quale non è necessariamente attrezzato.

Nelle scorse settimane, Sucuri (società di sicurezza) ha individuato la bellezza di cinquecento siti che, più o meno in contemporanea, avevano compromesso la propria versione di WordPress e altri sistemi CSM, dopo essersi associati a Coinhive.

La situazione sembra si stia però aggravando ulteriormente, tanto che qualcuno sta provando a mettere in atto delle risposte concrete. La società di sicurezza Malwarebytes, per esempio ha dichiarato di aver bloccato i tentativi di accesso a Coinhive “perché ci sono gestori di siti che non chiedono il permesso dell’utente per eseguire applicazioni avide di risorse.

Un miner di Bitcoin ordinario può essere incredibilmente leggero o esigente, dipende da quanta capacità di calcolo l’utente vuole usare. La versione JavaScript di un miner permette di personalizzare il livello di risorse da dedicare alle operazioni di mining, ma lascia tutto ciò nelle mani del gestore del sito”.

Da quando il fenomeno ha iniziato a verificarsi, secondo gli studi effettuati dalla società, si è arrivati a bloccare una media di otto milioni di tentativi di accesso al giorno a pagine che operano criptominer non autorizzati. Una battaglia lunga e difficile, che sembra essere appena inziata, ma che non prevede esclusione di colpi.

Anche perché, nelle ultime settimane, pare che il problema stia arrivando a coinvolgere anche le applicazioni Android, con la solita velocità e potenza che caratterizza questo genere di fenomeni (parliamo di 50 mila download in pochi giorni, capaci di innescare una finestra di browser non visibile all’utente, che reindirizza a un sito contenente criptominer).

Se c’è chi comincia a lavorare per difendere l’utente, la sua privacy virtuale e il suo portafoglio, anche dall’altro lato della barricata c’è da aspettarsi che ci si attrezzi, e la comparsa di altri servizi simili a Coinhive, o ancora di più (per la loro potenziale redditività) l’aumento di app contenenti criptominer occulti.

Come fare, allora, a evitarli o a rimuoverli dal proprio computer o cellulare? In primo luogo è importante mantenere un grado di “autodifesa”, nel senso di alta soglia di attenzione e diffidenza nella navigazione (soprattutto quando le app che andiamo a scaricare non sono poi così fondamentali per il prosieguo della nostra vita, o la cui origine ci arrechi dei sospetti); in secondo luogo, fornirsi di strumenti di “combattimento” adeguati, come antimalware e firewall, facendo attenzione costantemente alle impostazioni predefinite dei browser, così da ridurre al massimo il rischio e la presenza di script indesiderati; infine, inserire nel proprio sistema un reindirizzamento localhost ai domini incriminati (all’interno del file hosts del sistema) a cominciare da coin-hive.com e coinhive.com.