I cryptominer sono ormai uno dei temi più dibattuti nell’ambito della cybersicurezza. Specializzati nel creare moneta digitale sfruttando la potenza di calcolo di PC o di dispositivi mobili, quelli malevoli lo fanno all’insaputa dei proprietari. La minaccia è cresciuta esponenzialmente, superando il ransomware in quanto a pericolosità. Di recente è poi emerso PowerGhost, un nuovo cryptominer che dimostra come gli sviluppatori stiano spostando la loro attenzione verso l’impiego in attacchi mirati per ottenere maggiori profitti sul fronte economico.
PowerGhost viene distribuito all’interno delle reti aziendali, infettando sia le workstation sia i server. Per ora sembra che le principali vittime di questo tipo di attacco siano stati utenti di aziende in Brasile, Colombia, India e Turchia. È interessante notare come PowerGhost utilizzi diverse tecniche fileless per introdursi in modo discreto nelle reti aziendali: questo significa che il miner non scarica sul disco di memoria alcun file, rendendo più difficile le operazioni di rilevamento e remediation.
L’infezione di una macchina avviene da remoto, tramite exploit o strumenti di remote administration. Quando una macchina viene colpita, la parte principale del miner viene scaricata ed eseguita senza essere memorizzata su disco rigido. Una volta che questo processo è avvenuto, i cybercriminali possono predisporre l’aggiornamento automatico del miner, la sua diffusione all’interno della rete e l’avvio del processo di cryptomining.
“PowerGhost attacca le aziende con l’obiettivo di installare i miner, sollevando nuove preoccupazioni sui software di criptovalute. Il miner che abbiamo esaminato indica che colpire gli utenti ora non basta più e che i cybercriminali stanno rivolgendo la loro attenzione anche alle imprese. E questo fa del mining di criptovalute una vera minaccia per l’intera business community”, ha dichiarato Vladas Bulavas, malware analyst di Kaspersky Lab.
Il rilevamento di questa minaccia ha fornito ai ricercatori i seguenti responsi:
- PDM:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
Per diminuire il rischio di una possibile infezione da miner malevoli, gli esperti consigliano di:
- Provvedere sempre agli aggiornamenti su tutti i device in uso. Per impedire ai miner di sfruttare le vulnerabilità, utilizzare strumenti in grado di rilevare proprio le vulnerabilità e di scaricare e installare le patch in modo automatico.
- Non trascurare obiettivi che possono sembrare meno scontati di altri, come i sistemi di gestione delle file, i terminali POS, persino i distributori automatici. Anche questo tipo di apparecchiature possono essere attaccate per fare mining di criptovalute.
- Utilizzare una soluzione di sicurezza dedicata, che disponga di funzionalità di controllo delle applicazioni, di rilevamento “behaviour-based” e di componenti di prevenzione dagli exploit, che possano monitorare azioni sospette delle applicazioni e l’esecuzione di blocchi di file malevoli.
- Per proteggere l’ambiente digitale della propria azienda, è fondamentale informare ed educare i dipendenti e il team IT, tenendo separati i dati sensibili e limitando l’accesso.
