Cryptojacking: cos'è, come rilevarlo e come proteggersi

Cryptojacking: significato e definizione

Il cryptojacking è un crimine informatico che prevede l'uso non autorizzato di dispositivi (computer, smartphone, tablet e persino server) da parte di criminali informatici per estrarre criptovalute ad insaputa dell'utente. Come molte forme di criminalità informatica, il motivo è il profitto, ma a differenza di altre minacce, è progettato per rimanere completamente nascosto alla vittima.

Cos'è il cryptojacking?

Il cryptojacking è un tipo di minaccia che si integra in un computer o dispositivo mobile e ne utilizza le risorse per estrarre criptovaluta. La criptovaluta è denaro digitale o virtuale, che assume la forma di gettoni o "monete". La più nota è Bitcoin, ma esistono circa 3.000 altre forme di criptovaluta e mentre alcune criptovalute si sono avventurate nel mondo fisico attraverso carte di credito o altri progetti, la maggior parte rimane virtuale.

Per funzionare, le criptovalute utilizzano un database distribuito, noto come "blockchain". La blockchain viene regolarmente aggiornata con informazioni su tutte le transazioni avvenute dall'ultimo aggiornamento. Ogni serie di transazioni recenti viene combinata in un "blocco" utilizzando un complesso processo matematico.

Per produrre nuovi blocchi, le criptovalute si affidano agli individui e alla potenza di calcolo che questi possono offrire. Le persone che forniscono potenza di calcolo vengono premiate con la criptovaluta. Coloro che scambiano risorse informatiche per valuta sono chiamati "miner".

Le maggiori criptovalute utilizzano squadre di miner che eseguono piattaforme informatiche dedicate per completare i calcoli matematici necessari. Questa attività richiede una quantità significativa di elettricità: ad esempio, la rete Bitcoin attualmente utilizza più di 73 TWh di energia all'anno.

I cryptojacker e il futuro del cryptojacking

È qui che entra in gioco il cryptojacking: i cryptojacker sono persone che vogliono i vantaggi dell'estrazione ("mining") di criptovaluta senza sostenerne gli enormi costi. Non pagando costosi hardware di mining, né bollette dell'elettricità, il cryptojacking consente agli hacker di estrarre criptovaluta senza spese. Il tipo di criptovaluta estratta principalmente sui personal computer è Monero, apprezzato dai criminali informatici perché difficile da rintracciare.

Si discute se il cryptojacking sia in declino o in aumento. Il cryptojacking tende ad aumentare in proporzione al valore delle criptovalute, in particolare Bitcoin e Monero. Ma negli ultimi anni due fattori hanno avuto un effetto frenante sul cryptojacking:

• Repressioni da parte delle forze dell'ordine.
• La chiusura di Coinhive, il maggiore sito principale di cryptomining. Coinhive forniva codice JavaScript che i siti Web potevano incorporare per far sì che i computer dei visitatori estraessero Monero. Il codice di Coinhive è stato rapidamente utilizzato in modo inappropriato dagli hacker, aggiungendovi uno script di mining che poteva essere inserito in un sito Web all'insaputa del proprietario. Il sito è stato chiuso a marzo 2019 e, con esso, il numero di infezioni è diminuito drasticamente.

La motivazione dietro un attacco di cryptojacking è semplice: il denaro. L'estrazione di criptovaluta può essere molto redditizia, ma realizzare profitti è difficile se non si dispone dei mezzi per coprirne i costi elevati. Il cryptojacking è la manifestazione criminale del cryptomining e offre un modo illegittimo ma efficace ed economico per estrarre monete preziose.

Come funziona il cryptojacking?

I criminali informatici penetrano nei dispositivi per installare software di cryptojacking. Il software funziona in background, estraendo criptovalute o rubando dai wallet di criptovaluta. Le vittime ignare utilizzano i dispositivi normalmente, magari notando rallentamenti nelle prestazioni.

Gli hacker usano principalmente due metodi per indurre il dispositivo di una vittima a minare segretamente le criptovalute:

• Inducendo la vittima a fare clic su un collegamento dannoso in un'e-mail che carica il codice di cryptomining sul computer
• Infettando un sito Web o un annuncio online con un codice JavaScript che viene eseguito automaticamente una volta caricato nel browser della vittima

Gli hacker spesso utilizzano entrambi i metodi per ottenere il massimo guadagno. In entrambi i casi, il codice inserisce lo script di cryptojacking sul dispositivo, che viene eseguito in background a insaputa della vittima. Qualunque sia il metodo utilizzato, lo script esegue complessi problemi matematici sui dispositivi delle vittime e invia i risultati a un server controllato dall'hacker.

A differenza di altri tipi di malware, gli script di cryptojacking non danneggiano i computer o i dati delle vittime. Però rubano le risorse di elaborazione del computer. Per i singoli utenti, la lentezza nelle prestazioni del computer potrebbe essere semplicemente un fastidio. Ma il cryptojacking è un problema per le aziende perché trovandosi con più sistemi infetti da cryptojacking devono sostenere costi reali. Ad esempio:

• Ore di help desk e risorse IT spese per rintracciare i problemi di prestazioni e sostituire componenti o sistemi nella speranza di risolvere il problema.
• Aumento dei costi dell'elettricità.

Alcuni script di cryptomining hanno funzionalità di worming che consentono loro di infettare altri dispositivi e server su una rete. Questo li rende più difficili da identificare e rimuovere. Questi script possono anche verificare se il dispositivo è già stato infettato da malware di cryptomining concorrente. Se viene rilevato un altro cryptominer, lo script lo disabilita.

Nei primi casi di cryptomining, alcuni editori Web cercavano di monetizzare il loro traffico chiedendo ai visitatori il permesso di estrarre criptovalute mentre questi navigavano sul loro sito. Sembra uno scambio equo: i visitatori ricevono contenuti gratuiti mentre i siti utilizzano i computer per il mining. Ad esempio, sui siti di giochi, gli utenti potrebbero rimanere sulla pagina per un bel po' di tempo e nel frattempo il codice JavaScript estrae monete. Poi, quando escono dal sito, il cryptomining termina. Questo approccio può funzionare se i siti agiscono con trasparenza. La difficoltà per gli utenti è sapere se i siti sono onesti o meno.

Le versioni dannose del cryptomining, ad esempio il cryptojacking, non chiedono il permesso e continuano a funzionare a lungo dopo aver lasciato il sito iniziale. Questa è una tecnica utilizzata dai proprietari di siti dubbi o da hacker che hanno compromesso siti legittimi. Gli utenti non hanno idea che un sito che hanno visitato sfrutta il loro computer per estrarre criptovaluta. Il codice utilizza risorse di sistema sufficienti per rimanere inosservato. Sebbene l'utente pensi che le finestre del browser visibili siano chiuse, una finestra nascosta rimane aperta. Spesso può essere un pop-under, dimensionato per adattarsi sotto la barra delle applicazioni o dietro l'orologio.

Il cryptojacking può persino infettare i dispositivi mobili Android, utilizzando gli stessi metodi che prendono di mira i desktop. Alcuni attacchi avvengono tramite un trojan nascosto in un'app scaricata. Oppure i telefoni degli utenti possono essere reindirizzati a un sito infetto che lascia un pop-under persistente. Sebbene i singoli telefoni abbiano una potenza di elaborazione relativamente limitata, quando gli attacchi si verificano in gran numero, forniscono una forza collettiva sufficiente per giustificare gli sforzi dei cryptojacker.

Attacco di cryptojacking - esempi

Esempi di alto profilo di cryptojacking includono:

• Nel 2019, otto app separate che estraevano segretamente criptovaluta con le risorse di chiunque le avesse scaricate sono state espulse dal Microsoft Store. Le app sembravano provenire da tre diversi sviluppatori, anche si sospetta che dietro a tutte ci fosse la stessa persona o organizzazione. I potenziali bersagli potevano incontrare le app di cryptojacking tramite ricerche di parole chiave all'interno del Microsoft Store e negli elenchi delle migliori app gratuite. Quando un utente scaricava e avviava una delle app, scaricava inavvertitamente codice JavaScript per il cryptojacking. Il miner si attivava e iniziava a cercare Monero, utilizzando una quantità significativa di risorse del dispositivo, rallentandolo.
  
• Nel 2018, il codice di cryptojacking è stato scoperto nascosto all'interno della pagina Homicide Report del Los Angeles Times. Quando i visitatori visualizzavano la pagina Homicide Report, i loro dispositivi venivano utilizzati per estrarre la famosa criptovaluta chiamata Monero. La minaccia non è stata rilevata per un po' perché la quantità di potenza di calcolo utilizzata dallo script era minima, quindi molti utenti non erano in grado di rilevare che i loro dispositivi erano stati compromessi.
• Nel 2018, i cryptojacker hanno preso di mira la rete tecnologica operativa di un sistema di controllo del servizio idrico in Europa, influenzando seriamente la capacità degli operatori di gestire l'impianto. Questa è stata la prima istanza nota di un attacco di cryptojacking contro un sistema di controllo industriale. Simile all'attacco al Los Angeles Times, il miner generava Monero.
  
• All'inizio del 2018 si scoprì che il miner CoinHive era in esecuzione su YouTube Ads tramite la piattaforma DoubleClick di Google.
• Durante luglio e agosto 2018, un attacco di cryptojacking ha infettato oltre 200.000 router MikroTik in Brasile, iniettando il codice CoinHive in un'enorme quantità di traffico Web.

Come rilevare il cryptojacking

Il rilevamento del cryptojacking può essere difficile perché il processo è spesso nascosto o mascherato per sembrare un'attività innocua. Tuttavia, ecco tre segnali a cui prestare attenzione:

Rilevamento del cryptojacking: 3 cose a cui prestare attenzione

1. Diminuzione delle prestazioni

Uno dei sintomi principali del cryptojacking è la riduzione delle prestazioni sui dispositivi informatici. I sistemi più lenti possono essere il primo segnale di allarme, quindi fai attenzione se il tuo dispositivo funziona lentamente, si arresta in modo anomalo o presenta prestazioni insolitamente scadenti. La batteria che si scarica più rapidamente del solito è un altro potenziale indicatore.

2. Surriscaldamento

Il cryptojacking è un processo ad alta intensità di risorse che può causare il surriscaldamento dei dispositivi di elaborazione. Ciò può causare danni al computer o ridurne la durata. Se la ventola del laptop o del computer funziona più velocemente del solito, ciò potrebbe indicare che uno script o un sito Web di cryptojacking sta causando il surriscaldamento del dispositivo e la ventola è in funzione per raffreddarlo.

3. Utilizzo della CPU (Central Processing Unit)

Se noti un aumento dell'utilizzo della CPU quando sei su un sito Web con pochi o nessun contenuto multimediale, potrebbe essere un segno di script di cryptojacking in esecuzione. Un buon test consiste nel controllare l'utilizzo dell'unità di elaborazione centrale (CPU) del dispositivo utilizzando Activity Monitor o Task Manager. Tuttavia, tieni presente che i processi potrebbero nascondersi o mascherarsi come qualcosa di legittimo per impedirti di fermarli. Inoltre, quando il computer funziona alla massima capacità, verrà eseguito molto lentamente e pertanto può essere più difficile risolvere i problemi.

Come proteggersi dal cryptojacking

Utilizza un buon programma di sicurezza informatica

Un programma completo di sicurezza informatica come Kaspersky Total Security aiuterà a rilevare le minacce di vario tipo e può fornire protezione dai malware di cryptojacking. Come con tutte le altre precauzioni contro il malware, è molto meglio installare la sicurezza prima di diventare una vittima. È inoltre buona norma installare gli ultimi aggiornamenti software e le patch per il sistema operativo e tutte le applicazioni, in particolare quelle relative ai browser Web.

Fai attenzione alle ultime tendenze del cryptojacking

I criminali informatici modificano costantemente il codice ed escogitano nuovi metodi di distribuzione per incorporare script aggiornati nel tuo computer. Essere proattivo e rimanere al passo con le ultime minacce può aiutarti a rilevare il cryptojacking sulla rete e sui tuoi dispositivi ed evitare altri tipi di minacce per la cybersecurity.

Utilizza le estensioni del browser progettate per bloccare il cryptojacking

Gli script di cryptojacking vengono spesso distribuiti nei browser Web. Puoi utilizzare estensioni del browser specializzate per bloccare i cryptojacker sul Web, come minerBlock, No Coin e Anti Miner. Si installano come estensioni in alcuni browser popolari.

Usa ad blocker

Poiché gli script di cryptojacking vengono spesso forniti tramite annunci online, l'installazione di un ad blocker può essere un mezzo efficace per fermarli. L'utilizzo di un ad blocker come Ad Blocker Plus può sia rilevare che bloccare codice di cryptojacking dannoso.

Disabilita JavaScript

Durante la navigazione online, la disabilitazione di JavaScript può impedire al codice di cryptojacking di infettare il tuo computer. Tuttavia, sebbene ciò interrompa il cryptojacking drive-by, potrebbe anche impedirti di utilizzare le funzioni di cui hai bisogno.

Blocca le pagine già note come fonti di script di cryptojacking

Per prevenire il cryptojacking durante la visita di siti Web, assicurati che ogni sito che visiti sia su una whitelist attentamente controllata. Puoi anche inserire in una blacklist i siti noti per il cryptojacking, ma ciò potrebbe comunque lasciare il tuo dispositivo o rete esposto a nuove pagine.

Il cryptojacking potrebbe sembrare un crimine relativamente innocuo poiché l'unica cosa "rubata" è la potenza del computer della vittima. Ma l'uso della potenza di calcolo per questo scopo criminale viene fatto senza la conoscenza o il consenso della vittima, a beneficio di criminali che creano illecitamente criptovaluta. È consigliabile seguire le best practice di sicurezza informatica per ridurre al minimo i rischi e installare strumenti affidabili di cybersecurity o sicurezza Internet su tutti i tuoi dispositivi.

Articoli correlati:

• Cosa sono i Bitcoin?
• Cos'è la criptovaluta?
• 4 truffe comuni di criptovaluta
• I trasferimenti elettronici sono sicuri?