Zpedia 

/ Cos'è il cryptojacking?

Cos'è il cryptojacking?

Il cryptojacking è un tipo di attacco informatico in cui un criminale informatico prende il controllo di un computer o di un dispositivo mobile e utilizza la relativa potenza di calcolo per estrarre criptovaluta, come ad esempio i bitcoin. Il malware di cryptojacking è difficile da rilevare e può comportare gravi conseguenze per le organizzazioni, come il rallentamento delle prestazioni, l'aumento dei costi dell'elettricità e danni all'hardware dovuti al surriscaldamento.

Schema del cryptojacking
Scopri di più sulla protezione dalle minacce avanzate
Protezione dalle minacce informaticheSecOps e Endpoint Security
  1. Come funziona
  2. Esempi dal mondo reale
  3. I segnali di un attacco
  4. Rilevamento e prevenzione
  5. Cosa può fare Zscaler
  6. Risorse suggerite
  7. Domande frequenti
  8. Argomenti correlati

Come funziona il cryptojacking?

Il cryptojacking impiega i malware o il codice dannoso per impossessarsi della potenza di calcolo dei dispositivi delle vittime (laptop, computer desktop, smartphone ecc.) e utilizzarla per il mining, ossia per estrarre criptovaluta.

Diamo un'occhiata a come si svolge un attacco di cryptojacking.

  1. Erogazione/infezione: gli aggressori molto spesso riescono a eseguire il codice di cryptomining sul dispositivo delle vittime grazie a truffe di ingegneria sociale come il phishing, le pagine web dannose e così via. I siti web e i servizi cloud compromessi attraverso il codice di cryptomining riescono a sottrarre furtivamente la potenza di calcolo degli utenti mentre questi ultimi sono connessi.
  2. Esecuzione: gli script di cryptomining vengono eseguiti su un dispositivo compromesso, utilizzando la sua CPU o GPU per risolvere complessi enigmi crittografici. Il dispositivo diventa spesso parte di una botnet che combina la potenza di calcolo di molti endpoint infetti per offrire al miner un vantaggio nella corsa alla blockchain.
  3. Profitto: il miner che grazie ai propri sforzi computazionali (legali o meno) riesce per primo nell'intento di risolvere l'enigma crittografico riceve una "block reward" (blocco premio), ossia una quota di criptovaluta che viene inviata al suo portafoglio digitale. Le vittime del cryptojacking non ricevono alcuna ricompensa, anzi, su di esse gravano indirettamente i costi di tutta questa operazione.

A differenza del ransomware, che per raggiungere il suo obiettivo richiama l'attenzione a sé, il software di cryptojacking funziona nel modo più celato possibile, per aumentare al massimo la durata e la redditività dell'attacco. Può utilizzare tecniche di crittografia e anti-analisi per eludere le soluzioni di rilevamento delle minacce informatiche di base, limitare o sospendere l'utilizzo della CPU a seconda dell'attività dell'utente e altro, in modo da non destare sospetti.

promotional background

Cos'è la criptovaluta?

La criptovaluta è una valuta digitale costruita su un registro digitale decentralizzato chiamato blockchain su cui tutte le transazioni sono collegate crittograficamente, caratteristica che la rende altamente stabile e sicura. Sebbene abbia anche molti usi legittimi, gli hacker la apprezzano in modo particolare, perché può essere oggetto di transazioni senza il bisogno di un'identità reale.

La criptovaluta viene creata tramite il cryptomining, che richiede l'uso di grandi quantità di risorse di calcolo per risolvere complessi problemi matematici che convalidano le transazioni sulla blockchain e creano nuovi blocchi. Quando un miner riesce a trovare la soluzione agli enigmi, gli viene assegnata la valuta appena "coniata".

Quali sono le fonti dei malware di cryptojacking?

l malware di cryptojacking sono molto simili alle altre tipologie di malware per quanto riguarda i contesti in cui possono manifestarsi. Nella maggior parte dei casi, possono essere trovati in relazione a:

  • Siti web, plug-in o estensioni del browser compromessi in cui è stato iniettato del codice dannoso
  • Mining basato su browser o "drive-by" su siti web che non sarebbero altrimenti dannosi
  • Download dannosi camuffati da software innocui, in particolare app o torrent gratuiti
  • E-mail di phishing contenenti allegati infetti o che indirizzano a siti web dannosi
  • Annunci dannosi contenenti script di cryptojacking che vengono eseguiti in fase di selezione o visualizzazione
promotional background

Le fonti principali fonti del cryptojacking

Secondo i risultati di Zscaler, i contenuti per adulti, i media in streaming e i siti aziendali sono le principali fonti online di malware e cryptojacking.

Leggi il blog

Qual è l'impatto dei malware di cryptojacking sulla tua azienda?

A livello organizzativo, il costo giornaliero del cryptojacking potrebbe non destare troppe preoccupazioni. Tuttavia, l'importo può rapidamente arrivare a centinaia o addirittura migliaia di dollari al mese, per non parlare della possibilità di subire altri danni, come:

  • Riduzione delle prestazioni di sistema, che può frustrare e rallentare gli utenti, incidendo sulla produttività
  • Bollette e consumi energetici più elevati, che possono incidere negativamente sui profitti e ostacolare il raggiungimento degli obiettivi ambientali
  • Danni all'hardware informatico, che possono creare costi imprevisti per le attività di manutenzione e sostituzione

Esempi di cryptojacking nel mondo reale

Nonostante i rischi, nessun attacco di cryptojacking ha raggiunto i livelli di notorietà globale degli attacchi alla catena di approvvigionamento di ransomware come WannaCry o dell'attacco a SolarWinds. La differenza rispetto a questi attacchi è il modo silenzioso ed elusivo in cui opera il cryptojacking, che è anche ciò che lo rende particolarmente pericoloso. Diamo un'occhiata ad alcuni esempi.

Smominru BotnetDal 2017, Smominru ha infettato centinaia di migliaia di sistemi Microsoft Windows in tutto il mondo per estrarre la criptovaluta Monero. Si diffonde impiegando la forza bruta per ottenere le credenziali RDP e sfruttando le vulnerabilità dei software; inoltre, sui sistemi compromessi è persino in grado di eseguire ransomware, trojan e altre minacce.

The Pirate BayNel 2018, si è scoperto che il sito di condivisione file P2P The Pirate Bay eseguiva codice JavaScript creato dall'ormai defunto servizio di cryptomining Coinhive. Lo script di cryptojacking veniva eseguito senza il consenso degli utenti e senza possibilità di disattivarlo mentre i malcapitati navigavano nel sito, e utilizzava la loro potenza di calcolo per estrarre Monero.

GraboidScoperto per la prima volta nel 2019, Graboid è un worm che sfrutta i container Docker non protetti (cioè esposti a Internet). Si diffonde da host compromessi ad altri container nelle loro reti e prende il controllo delle risorse dei sistemi infetti per estrarre Monero.

Librerie di immagini open source A partire dal 2021 circa, i ricercatori hanno notato un picco nel numero di immagini di cryptojacking in repository open source come Docker Hub. Alla fine del 2022, la caratteristica più comune tra le immagini dannose era il codice di cryptojacking (Google Cloud Cybersecurity Action Team, 2023).

promotional background

Perché si parla così tanto di Monero?

Monero è popolare nella criminalità informatica perché le sue transazioni sono anonime e non visibili pubblicamente, a differenza delle valute che utilizzano registri trasparenti, come i bitcoin.

I segnali di un attacco di cryptojacking

Gli attacchi di cryptojacking mantengono un profilo basso per prolungare l'uso non autorizzato del sistema, ma se sai cosa cercare, potresti essere in grado di identificare le loro attività prima che il costo per te o la tua organizzazione diventi troppo elevato. Durante le operazioni di mining, potresti notare:

  • Problematiche prestazionali, come rallentamento, blocco, arresto anomalo o temperature operative più elevate
  • Elevato utilizzo della CPU/GPU, anche con pochissime attività in esecuzione (controlla Gestione attività su Windows o Monitoraggio delle attività su macOS)
  • Consumo energetico elevato o che cresce vertiginosamente senza alcuna causa legittima apparente
  • Traffico di rete insolito, come comunicazioni frequenti in uscita o trasferimenti di dati di grandi dimensioni verso posizioni sconosciute
  • Processi sconosciuti o insoliti nascosti tra i processi in background legittimi di un sistema
promotional background

Tattiche di elusione

Il malware di cryptojacking potrebbe essere in grado di modificare dinamicamente la struttura del codice, utilizzare tecniche anti-analisi e fileless e sfruttare un'infrastruttura di comando e controllo distribuita per eludere il rilevamento da parte di strumenti tradizionali come gli antivirus di base.

Come puoi rilevare e prevenire il cryptojacking?

Al di là dei comuni segnali di allarme, puoi adottare alcune semplici tecnologie e strategie per prevenire il diffondersi degli attacchi di cryptojacking o fermarli prima ancora che entrino nel sistema.

  • Istruisci gli utenti e i team sui segnali di allarme. Senza capire cosa potrebbero indicare, è difficile che gli utenti segnalino problemi come le prestazioni scadenti. Per il personale IT, dell'assistenza e di NetOps, la prova del verificarsi di processi di mining non autorizzati è un elemento importante da tenere in considerazione durante le indagini e la risposta alle segnalazioni.
  • Trova prove nascoste con la caccia proattiva alle minacce. I segni più evidenti dell'attività di cryptojacking potrebbero non essere facilmente visibili ai tuoi utenti. Il personale di sicurezza esperto o i cosiddetti threat hunter, i ricercatori di minacce, lavorano per identificare e analizzare le anomalie comportamentali e altri sottili indicatori di compromissione associabili al cryptojacking.
  • Utilizza strumenti efficaci per monitorare e bloccare il traffico di cryptomining. Il modo migliore per fermare il cryptojacking è bloccarlo sin dal principio. Per farlo, è necessaria una soluzione in grado di garantire che ogni pacchetto proveniente da qualsiasi utente, dentro o fuori dalla rete, venga ispezionato integralmente, con una capacità di ispezione TLS/SSL illimitata. Zscaler ha la soluzione giusta.

Proteggersi dal cryptojacking con Zscaler

Zscaler Internet Access™ (ZIA™), un componente fondamentale della piattaforma nativa del cloud Zscaler Zero Trust Exchange, fornisce una protezione sempre attiva contro cryptojacking, ransomware, minacce 0-day e malware sconosciuti tramite la sua suite basata sull'AI: Advanced Threat Protection.

La policy predefinita di ZIA, attiva dal momento della distribuzione, ti consente di bloccare automaticamente il traffico di cryptomining e di generare avvisi opzionali. Zscaler Internet Access è in grado di rilevare il cryptomining quando il traffico passa attraverso Zero Trust Exchange, anche se è cifrato.

Lo strumento ZIA offre:

  • Prevenzione completa inline. L'architettura proxy inline è l'unico modo affidabile per mettere in quarantena e bloccare i contenuti sospetti e gli attacchi su scala aziendale.
  • Sandbox ed ML inline. Zscaler Sandbox utilizza il machine learning integrato per eseguire un'analisi avanzata e bloccare rapidamente gli attacchi nuovi ed elusivi basati su file.
  • Ispezione SSL sempre attiva. Grazie a una distribuzione completa su una piattaforma globale, è possibile ricevere un'ispezione SSL senza limiti, che segue gli utenti sulla rete e fuori dalla rete.
  • L'effetto cloud di Zscaler. Sfruttiamo i dati sulle minacce provenienti dal security cloud più grande del mondo, che elabora oltre 300 miliardi di transazioni al giorno e decine di feed esterni sulle minacce, per condividere le protezioni in tutto il mondo e in tempo reale.
promotional background

Zscaler Private Access offre una protezione sempre attiva contro il cryptojacking e altri attacchi informatici.

Richiedi una demoScopri di più su ZIA

Risorse suggerite

Cloud Connector e il cryptojacking
Leggi il blog
Il cryptomining ormai è negli ambienti aziendali
Leggi il blog
Zscaler Sandbox
Consulta la scheda tecnica
FAQ