Abbiamo denunciato in più occasioni il problema dei miner di criptovalute: nati come strumenti legittimi per sostituire gli ads come mezzo di guadagno per i gestori di siti web, in pochissimo tempo si sono "tramutati" in vere e proprie armi illegali di attacco contro utenti ignari. La loro diffusione era divenuta così estesa da obbligare piattaforme di rilievo come Google Play a rimuovere tutte le app per il mining e a impedire la pubblicazione di nuove.
In questi ultimi due anni, periodo nel quale la loro diffusione ha mostrato una crescita più che esponenziale, si è affermato sopratutto l'uso dei miner in browser: parliamo di codice JavaScript inserito entro siti Internet o web server compromessi o appositamene creati (crypto-jacking) .
Da più fonti, nel mondo della sicurezza informatica, si sta denunciando, però, un cambiamento piuttosto drastico: i dati mostrano un netto calo dei miner in browser, al quale corrisponde al contrario un'impennata dei malware per il mining. Il motivo parrebbe essere legato, principalmente, ad una questione di efficacia.
Qualche dettaglio aggiuntivo si trova nel report pubblicato dal ricercatore Charles DeBeck di IBM.
Nel 2018 i dati hanno mostrato una schiacciante superiorità dei miner browser-based anzichè dei malware, un rapporto di 2 a 1 circa. E se nel 2017 la quasi totalità degli attacchi era rivolta contro singoli utenti, nel 2018 i cyber attaccanti hanno sviluppato anche numerose varianti di miner pensati per colpire i dispositivi IoT, nonostante la loro scarsa potenza di calcolo.
Al contrario, nei primi mesi del 2019 il rapporto appare quasi ribaltato, con una impennata dei rilevamenti degli attacchi basati sui malware.
A quali fattori può essere dovuto questo cambiamento?
Una prima possibilità è che il recente calo del valore delle criptovalute abbia reso meno redditizio il mining in browser. Il browser infatti, in quando semplice app su un dispositivo, non può generare la stessa potenza di calcolo che si genera in caso di infezione del dispositivo fisico. Insomma, il mining in browser richiede più tempo, rispetto ad un malware, per generare criptovaluta: passare ai malware per il mining consente ai cyber attaccanti di avere accesso ad un maggiore potere di calcolo e ad una riduzione dei tempi. Pensiamo, ad esempio, che la maggior parte delle criptovalute fornisce prestazioni migliori quando viene sfruttato il processore grafico: per farlo però occorre un livello di accesso al sistema che solo un malware può consentire.
Una seconda possibilità è il fatto che ormai sono estremamente diffusi strumenti specializzati per il rilevamento della presenza di JavaScript sui siti web, che avvisano in tempo reale l'utente e consentono di bloccare gli script: la stessa funzione si sta diffondendo anche nei software antivirus.
Infine, non si può ritenere dato secondario, l'abbandono di CoinHive (ne abbiamo parlato qui): gli attaccanti che sfruttavano questo script si sono trovati costretti a cambiare strumento di guadagno.
L'eccezione Monero
E' probabile invece che, per quanto riguarda la criptovaluta Monero, gli attaccanti continueranno a preferire il mining in-browser. Recentemente infatti c'è stato un netto calo dell'hash rate (unità di misura della potenza di elaborazione della rete) di questa criptovaluta: un hash rate ridotto rende l'estrazione di ciascuna moneta meno intensiva dal punto di vista computazionale, rendendo nei fatti più redditizia questa opzione nonostante il minor potere di raccolta.
Cosa ci aspetta in futuro?
C'è quindi da aspettarsi una certa diffusione dei malware per il mining di criptovaluta e già ci sono i primi esemplari. Uno di questi, che può esemplificare una intera categoria, è stato PowerGhost: parliamo di un malware che, pensato per colpire le aziende, infetta workstation e server. La particolarità di PowerGhost è che utilizza diverse tecniche fileless per introdursi discretamente nella rete aziendale riducendo al minimo il rischio di individuazione da parte dei sistemi antivirus e di protezione della rete. Infatti il malware non scarica il miner in locale, nessun file viene salvato in locale: la parte principale del codice del miner viene scaricata ed eseguita direttamente in memoria volatile. Si capisce come l'individuazione e il ripristino siano così una strada tutta in salita.
Nessun commento:
Posta un commento