Gli esperti consigliano di monitorare la CPU, bloccare indirizzi IP noti per il criptomining e proteggere gli endpoint

Cryptojacking

Gli ultimi mesi del 2017 hanno portato grande fermento nel mercato delle criptovalute, portando il Bitcoin a raggiungere lo stratosferico valore di 18.000 USD, con una specie di corsa all’oro in cui tanti cercavano di trarre profitto dalla situazione. Come effetto collaterale si è sviluppato un nuovo tipo di malware, il cryptojacking.

Cryptojacking nasce dall’unione di due parole, “cryptocurrency” e “Hijacking”. In parole povere, un PC, dispositivo mobile o server viene utilizzato per “minare” criptovalute per conto di qualcun altro. Questo tipo di malware non trattiene i dati in ostaggio come accade col ransomware, ma il suo scopo è rubare potenza di calcolo. Ciò perché minare criptovalute richiede calcoli estremamente complessi per generare gli hash necessari per guadagnare il premio virtuale.

Che conseguenze può avere il cryptojacking?

Il mining delle criptovalute deve bilanciare profittabilità e costi. Quando un cybercriminale usa un malware per il cryptojacking, tutto il costo viene spostato sul dispositivo della vittima. Il costo per alimentare la CPU ricade sull’utente che in molti casi non è nemmeno consapevole dell’attività illecita.

Il malware di cryptojacking può interessare qualsiasi dispositivo capace di eseguire i calcoli matematici necessari per minare le criptovalute. Poiché un singolo dispositivo difficilmente è in grado di minare grandi quantità di criptovalute, i criminali cercano di schiavizzare quanti più dispositivi possibile per massimizzare i loro profitti. Per questo motivo, è opportuno sapere come vengono usate le risorse di calcolo.

Monitoraggio del malware

Paessler ha recentemente documentato un caso in cui PRTG Network Monitor monitorava siti ben noti infettati con un malware di cryptojacking. PRTG ha permesso di monitorare costantemente i siti infetti, segnalando quando il malware veniva rimosso. Lo stesso principio si applica alle infrastrutture di rete delle aziende, sia che si tratti di un server locale sia di una macchina virtuale nel cloud. PRTG fornisce dati preziosi che mettono in allarme prima che la bolletta elettrica si gonfi a dismisura o che le risorse cloud siano esaurite.

Nel caso del malware di cryptojacking è importante monitorare un uso intenso e continuativo della CPU e non solo i picchi occasionali.

Altre misure

Oltre a monitorare l’infrastruttura con un sistema di Network Monitor, è consigliabile impedire il cryptojacking a livello della rete bloccando quegli indirizzi IP e domini che sono notoriamente collegati ad attività illecite di cryptomining. Una lista frequentemente aggiornata di questi domini è disponibile tramite CoinBlockerLists.

La protezione degli endpoint è un altro elemento chiave per impedire che il cryptojacking abbia luogo tramite un browser web. Per quanto molti degli antivirus aziendali oggi siano in grado di bloccare la maggior parte del malware di cryptojacking, è importante usare l’estensione minerBlock sul browser per garantire la massima protezione.

Il cryptojacking è un fenomeno destinato a non sparire in breve tempo. Ma con una protezione e un monitoraggio adeguati il rischio sarà sicuramente ridotto ai minimi termini.