software di mining
adv

Milioni di dollari intascati con qualche click, una buona dose di ingegno (come sempre nella mente dei più diabolici criminali) e tecniche sofisticate. È così che i criminali informatici stanno devastando i pc delle aziende di mezzo mondo, installando software di mining per criptomonete, con gli stessi metodi che in precedenza usavano per infettarli.

È il succo di una indagine degli analisti di Kaspersky Lab, azienda specializzata in sicurezza informatica, secondo la quale il gruppo più attivo in questo ambito avrebbe guadagnato finora, in poco più di sei mesi, la cifra record di sette milioni di dollari.

Poco importano, naturalmente, le oscillazioni del mercato delle cripto valute e i fenomeni che fanno registrare bruschi crolli e impennate nel valore di Bitcoin e company: l’economia globale sta cambiando e con essa anche la stabilità dei mercati di tutto il pianeta, per cui il mondo della sicurezza informatica deve adeguarsi.

Nei loro attacchi, infatti, i criminali informatici stanno utilizzando con sempre maggiore frequenza i software di mining, che così come i ransomware, hanno un modello di monetizzazione molto semplice.

In più offrono un grande vantaggio: danno la possibilità di rimanere invisibili per molto tempo (differentemente dai ransomware) dal momento che non danneggiano il dispositivo su cui si inseriscono e quindi possono usufruire, senza destar sospetto, della potenza di calcolo dei computer “assaltati”.

L’aumento del numero di miner registrato da Kaspersky negli ultimi mesi del 2017 è impressionante e la crescita non solo sembra esponenziale, ma è anche destinata a salire in maniera ulteriore.

Tecnicamente il metodo è quello del process-hollowing, un processo solitamente usato per i malware e già utilizzato in precedenza, in occasione di attacchi mirati effettuati con tecniche APT.

Il sistema è semplice: la vittima viene condotta a scaricare e ad installare sul proprio dispositivo un software pubblicitario, all’interno del quale è nascosto l’installer del miner. Dopo l’esecuzione si avvia un processo di sistema e il codice di questo processo viene modificato con l’inserimento di un codice dannoso.

Cambiando soltanto il codice, il miner continua ad operare a lungo come se si trattasse di un task legittimo e tanto per l’utente, quanto per i sistemi di sicurezza, risulterà estremamente difficile capire di aver subito un’infezione, e tanto meno rilevare la minaccia. Anche perché, come se non bastasse, i miner “marcano” il processo, così da renderne estremamente difficile la cancellazione.

Accade inoltre che, nel momento in cui l’utente prova a bloccare il processo, il sistema si riavvii in automatico: i criminali proteggono in questo modo la loro presenza all’interno del sistema per un tempo più lungo e produttivo.

Sempre alla luce delle analisi di Kapersky Lab, la criptovaluta maggiormente colpita nel corso degli ultimi mesi del 2017 sarebbe la Electroneum, e la cifra guadagnata in totale attraverso questo tipo di truffa ammonterebbe a circa sette milioni di dollari. Anton Ivanov, che della società russa è Lead Malware Analyst ha recentemente spiegato come il sistema dei ransomware stia progressivamente per essere abbandonato, a discapito del mining: “La conferma ci arriva dalle statistiche che, nell’ultimo anno, mostrano una crescita costante dei miner.

I gruppi di criminali informatici stanno sviluppando sempre più i loro metodi e hanno già iniziato ad utilizzare tecniche più sofisticate per diffondere software di data mining. La stessa evoluzione aveva riguardato gli hacker dei ransomware nella fase di crescita del fenomeno”. Come dire: corsi e ricorsi storico-informatici.

Considerando le statistiche di cui parla Ivanov, però, la situazione appare abbastanza critica. Ecco qualche numero: oltre due milioni e mezzo sono gli utenti attaccati dai miner dannosi; il cinquanta per cento è la percentuale di crescita degli attacchi rispetto al 2016; centinaia di migliaia sono i differenti tipi di adware, giochi craccati, software pirata usati dai cyber criminali per inserirsi in maniera illegale su dispositivi altrui.

E le evoluzioni del fenomeno sembrano continue: l’ultimissima, quella che preoccupa di più gli esperti del fenomeno, è il “web mining”, processo che si servirebbe di un codice speciale inserito direttamente in una pagina web infetta.

Il più noto tra questi si chiama CoinHive, ed è stato scoperto tra le pagine di siti internet anche noti e importanti, che starebbero correndo ai ripari in silenzio, per non aggiungere ai danni materiali anche quelli di immagine.

Risulta  ormai chiaro che, nel mondo moderno, investire sulla sicurezza informatica appare ormai non più solo una buona pratica, ma una necessità assoluta.