Nel 2017 un gruppo di hacker ha guadagnato 7 milioni di dollari in soli sei mesi

I criminali informatici usano metodi e tecniche d’infezione sempre più sofisticati, precedentemente usate in attacchi mirati, per installare software di mining sui PC aziendali. Il gruppo di maggior ha guadagnato, in soli sei mesi del 2017, almeno 7 milioni di dollari.

Anche se il mercato delle cryptovalute sta vivendo alti e bassi, i fenomeni dello scorso anno, con impennate nel valore del Bitcoin, hanno cambiato significativamente l’economia globale, ma anche il mondo della sicurezza informatica. Con l’obiettivo di guadagnare cryptovaluta, i criminali hanno iniziato a utilizzare nei loro attacchi software di mining, che, come i ransomware, hanno un semplice modello di monetizzazione. A differenza del ransomware, non danneggiano i dispositivi degli utenti e sono in grado di rimanere a lungo nascosti sfruttando silenziosamente la potenza di calcolo dei PC. Nel settembre 2017, Kaspersky Lab ha registrato un aumento di miner, che hanno iniziato a diffondersi attivamente in tutto il mondo e presumibilmente cresceranno ulteriormente.

I ricercatori hanno recentemente identificato un gruppo di cyber criminali che utilizzava tecniche APT per infettare gli utenti con miner. Il metodo utilizzato è quello del process-hollowing, solitamente utilizzato per i malware e già visto in alcuni attacchi mirati da parte di gruppi APT, che fin ad ora non era ancora stato osservato in attacchi di mining.

L’attacco funziona così: la vittima viene indotta a scaricare e installare un software pubblicitario in cui è nascosto l’installer del miner. Questo programma di installazione utilizza una utility legittima di Windows per scaricare il miner da un server remoto. Dopo l’esecuzione, viene avviato un processo di sistema legittimo e il codice (legittimo) di questo processo viene modificato in codice dannoso. Di conseguenza, il miner opera sotto le sembianze di un task legittimo e per un utente sarà impossibile riconoscere se ha subito un’infezione da mining e anche per le soluzioni di sicurezza è difficile rilevare questa minaccia. Inoltre, i miner “marcano” questo nuovo processo in modo da renderne difficile la cancellazione. Se l’utente tenta di interrompere il processo, il sistema si riavvierà. Così, i criminali proteggono la loro presenza nel sistema per un tempo più lungo e più produttivo.

In base alle osservazioni, gli autori di questi attacchi, nella seconda metà del 2017, hanno estratto la cryptovaluta Electroneum e guadagnato quasi 7 milioni di dollari, il che è paragonabile alle somme che erano soliti guadagnare i creatori di ransomware.

“Il ransomware sta passando in secondo piano, lasciando il posto al mining. La conferma viene dalle nostre statistiche che, durante l’anno, mostrano una crescita costante dei miner: i gruppi di cyber criminali stanno sviluppando attivamente i loro metodi e hanno già iniziato a utilizzare tecniche più sofisticate per diffondere software di data mining. La stessa evoluzione aveva riguardato gli hacker dei ransomware nella fase di crescita del fenomeno”, ha commentato Anton Ivanov, Lead Malware Analyst di Kaspersky Lab.

Secondo i dati relativi al 2017, 2.7 milioni di utenti sono stati attaccati da miner dannosi. Questo equivale ad un aumento del 50% in più rispetto al 2016 (1,87 milioni). Le vittime sono state colpite attraverso adware, giochi craccati e software pirata usati dai criminali informatici per infettare segretamente i loro PC. Un altro approccio utilizzato è stato il web mining, attraverso un codice speciale inserito in una pagina Web infetta: il più diffuso è stato CoinHive, scoperto su molti siti web noti.

Per restare protetti, è consigliabile evitare di cliccare su siti web sconosciuti o banner e annunci sospetti; non scaricare e aprire file sconosciuti da fonti non attendibili; installare una soluzione di sicurezza affidabile.

Per le aziende, è auspicabile effettuare un audit della sicurezza su base regolare; installare una soluzione di sicurezza affidabile su tutte le workstation e sui server, assicurandosi che tutti i suoi componenti siano abilitati per garantire la massima protezione.