Cryp­to­jac­king: come rilevarlo e come pro­teg­ge­re i vostri di­spo­si­ti­vi?

Nel cryp­to­jac­king, i criminali in­for­ma­ti­ci infettano computer e di­spo­si­ti­vi mobili con dei malware al fine di uti­liz­zar­ne la potenza di calcolo per generare crip­to­va­lu­te. Un’infezione di questo tipo può essere rilevata da un carico in­spie­ga­bil­men­te elevato della CPU. Vi sono, tuttavia, diversi metodi che aiutano a rilevare, fermare e prevenire il cryp­to­jac­king.

Il termine cryp­to­jac­king deriva dalla fusione delle parole inglesi “cryp­to­cur­ren­cy” e “hi­gh­jac­king” (in italiano ri­spet­ti­va­men­te “crip­to­va­lu­te” e “di­rot­ta­men­to”) e indica un malware ibrido trasmesso sotto forma di trojan e script. I cryp­to­jac­ker hanno ormai so­sti­tui­to i ran­som­ware e i virus come una delle più grandi minacce online a livello globale. I criminali in­for­ma­ti­ci dirottano i sistemi in­fil­tra­ti per il mining di crip­to­va­lu­te, senza essere rilevati. Di con­se­guen­za, l’uso della CPU e il consumo di energia sono estre­ma­men­te elevati. A dif­fe­ren­za di altri malware, i cryp­to­jac­ker sono prin­ci­pal­men­te in­te­res­sa­ti a dirottare le risorse di calcolo, mentre lo spio­nag­gio dei dati sensibili dell’utente o del sistema non ha alcuna rilevanza.

Il cryp­to­jac­king è legato al processo di mining di crip­to­va­lu­te, in cui i minatori for­ni­sco­no la propria capacità di calcolo o capacità combinate (se facenti parte di un pool di mining) per le­git­ti­ma­re e ve­ri­fi­ca­re le tran­sa­zio­ni ef­fet­tua­te con crip­to­va­lu­te e do­cu­men­tar­le nella Bloc­k­chain. Per ga­ran­tir­ne la legalità, le tran­sa­zio­ni in Bitcoin, ad esempio, sono re­gi­stra­te pub­bli­ca­men­te. Tuttavia, le altcoin ano­ni­miz­za­te, come Monero ed Ethereum, offrono ai criminali in­for­ma­ti­ci l’anonimato ne­ces­sa­rio per ef­fet­tua­re delle tran­sa­zio­ni illegali av­va­len­do­si di sistemi infetti.

Più il mining di crip­to­va­lu­te diventa im­pe­gna­ti­vo in termini di risorse e di tempo e più il mining red­di­ti­zio dipende in misura crescente da elevate capacità di calcolo e da un costoso consumo ener­ge­ti­co. Il mining illegale sotto forma di cryp­to­jac­king mira a uti­liz­za­re le risorse di calcolo di altri utenti per generare profitti senza sostenere costi operativi. A tal fine, i sistemi in­te­res­sa­ti vengono spesso aggiunti alle botnet di mining che agiscono come pool di mining illegali e rag­grup­pa­no la potenza di calcolo.

Diventare parte di una rete di cryp­to­jac­king su larga scala, in­vo­lon­ta­ria­men­te e in­con­sa­pe­vol­men­te, è più facile di quanto si pensi. Potreste infatti essere attirati da uno scareware e finire per cliccare su un link che porta a un sito web infetto o scaricare un’ap­pli­ca­zio­ne di terze parti da una fonte dubbia. L’unica cosa che potreste notare è un sistema più lento, poiché un trojan userà le capacità di calcolo del vostro PC o di­spo­si­ti­vo mobile in back­ground.

Gli utenti domestici non sono l’unico obiettivo dei cryp­to­jac­ker: dei casi famosi di cryp­to­jac­king hanno coinvolto grandi marchi e aziende come, ad esempio, Tesla Motors. In questa istanza, i di­pen­den­ti hanno usato delle ap­pli­ca­zio­ni non protette, infette da script di cryp­to­jac­king. Un altro caso noto è stato quello dei negozi Starbucks a Buenos Aires in cui il Wi-Fi fornito ai clienti è stato usato come ponte at­tra­ver­so il quale è stata dirottata la potenza di calcolo dei computer portatili e dei di­spo­si­ti­vi mobili collegati. Altri esempi noti includono i siti web di Cristiano Ronaldo e dello Zoo di San Diego che hanno in­con­sa­pe­vol­men­te usato il programma di mining Coinhive per estrarre la potenza di calcolo dei vi­si­ta­to­ri del sito.

A seconda di come i computer o i di­spo­si­ti­vi mobili altrui vengono uti­liz­za­ti per il cryp­to­jac­king, si di­stin­guo­no le seguenti categorie di malware pe­ri­co­lo­si:

• Cryp­to­jac­king at­tra­ver­so trojan o adware: i sistemi che vengono infettati con un trojan di cryp­to­jac­king at­tra­ver­so dei siti web, file, download o altri mezzi infetti vengono uti­liz­za­ti per rendere la CPU o la GPU di­spo­ni­bi­li per il mining. Poiché questi aggirano i programmi antivirus e la Gestione attività, in genere rimangono inos­ser­va­ti per molto tempo.
• Cryp­to­jac­king at­tra­ver­so Ja­va­Script o browser: in questo caso, il codice di mining è nascosto in uno script nei siti web, ad esempio sotto forma di frammenti di codice del programma Coinhive ed eseguito dal browser. I vi­si­ta­to­ri di un sito web offrono quindi in­con­sa­pe­vol­men­te la loro potenza di calcolo per il mining, alle volte anche dopo aver lasciato il sito infetto, il che è possibile at­tra­ver­so pop-up o schede nascoste. Dal momento che i portali di streaming man­ten­go­no i loro utenti sulla pagina per un lungo periodo di tempo, sono spesso colpiti da codici di mining nascosti in lettori video o annunci di cryp­to­jac­king ma­sche­ra­ti.

Sembra ironico che il creatore del codice Ja­va­Script Coinhive, am­pia­men­te uti­liz­za­to per il cryp­to­jac­king, affermi che Coinhive è un’al­ter­na­ti­va ai classici banner pub­bli­ci­ta­ri. Tuttavia, l’idea dietro un codice come Coinhive non è illegale, a con­di­zio­ne che non se ne abusi. In linea di principio, un codice integrato nei siti web, at­tra­ver­so il quale i vi­si­ta­to­ri accettano con­sa­pe­vol­men­te il mining, può essere un’al­ter­na­ti­va sicura alle pub­bli­ci­tà che portano a dei siti malevoli di scam o phishing o al furto di dati sensibili degli utenti.

Il pre­re­qui­si­to in questo caso è che i vi­si­ta­to­ri della pagina accettino di offrire una parte della loro potenza di calcolo per la visita al sito web, come nel caso delle richieste dei cookie. In questo modo, i gestori di siti web riescono a fi­nan­ziar­si anche senza un’eccessiva quantità di pub­bli­ci­tà in­con­trol­la­ta. Tuttavia, questo può essere im­ple­men­ta­to solo at­tra­ver­so degli standard in­di­pen­den­ti e una completa tra­spa­ren­za dei codici di mining di crip­to­va­lu­te nei progetti web. Un esempio di successo per l’uso legale di Coinhive è rap­pre­sen­ta­to da un’ini­zia­ti­va di be­ne­fi­cien­za di UNICEF Australia in cui le donazioni sono state generate at­tra­ver­so le visite al sito web.

Se vi state chiedendo se il vostro di­spo­si­ti­vo sia affetto da un malware di mining di crip­to­va­lu­te, dovreste prestare at­ten­zio­ne al segno più comune per il ri­co­no­sci­men­to dei malware: un in­spie­ga­bi­le carico elevato di CPU o GPU. Poiché i cryp­to­jac­ker sono prin­ci­pal­men­te in­te­res­sa­ti alla potenza di calcolo, è difficile na­scon­de­re l’impatto del malware. Per generare alti profitti dal cryp­to­jac­king, infatti, il carico di lavoro deve essere ugual­men­te alto. Questo a volte può rag­giun­ge­re fino al 90 o 100 per cento della potenza di calcolo.

Una ven­ti­la­zio­ne del computer par­ti­co­lar­men­te rumorosa o il sur­ri­scal­da­men­to del di­spo­si­ti­vo indicano che vi sono dei processi in ese­cu­zio­ne in back­ground. Ge­ne­ral­men­te, a meno che non stiate eseguendo compiti di calcolo intensi, il vostro di­spo­si­ti­vo non dovrebbe sur­ri­scal­dar­si. Se questo avviene, può essere in­di­ca­ti­vo di una possibile infezione di malware. Nel peggiore dei casi, il cryp­to­jac­king non rilevato può ac­cor­cia­re la durata del vostro di­spo­si­ti­vo a causa del carico per­ma­nen­te e causare bollette ener­ge­ti­che più alte.

Se siete stati affetti da dei trojan di cryp­to­jac­king, dovreste procedere come per qualsiasi altra infezione di malware:

scan­sio­na­te il di­spo­si­ti­vo uti­liz­zan­do un software anti-malware af­fi­da­bi­le per ve­ri­fi­ca­re se il programma maligno è ri­le­va­bi­le ed eliminate quindi il malware. Tuttavia, poiché i trojan di cryp­to­jac­king possono di­sa­bi­li­ta­re i software antivirus e ingannare la Gestione attività o na­scon­der­si nei file del registro di sistema, questo metodo non ha sempre successo.

In questo caso, se i programmi anti-malware non riescono a rilevare nulla, bisognerà con­tat­ta­re un esperto di sicurezza in­for­ma­ti­ca pro­fes­sio­na­le. Al­tri­men­ti, potreste andare sul sicuro riav­vian­do com­ple­ta­men­te il vostro di­spo­si­ti­vo, ad esempio uti­liz­zan­do l’ambiente di ri­pri­sti­no di Windows (Windows Recovery En­vi­ro­ment o WinRE).

È possibile prevenire i trojan di cryp­to­jac­king seguendo alcuni ac­cor­gi­men­ti. Questi includono un ag­gior­na­men­to costante del vostro sistema, l’in­stal­la­zio­ne di ag­gior­na­men­ti necessari e l’utilizzo di un programma antivirus af­fi­da­bi­le e re­go­lar­men­te ag­gior­na­to. Inoltre, potrete prestare at­ten­zio­ne a dei com­por­ta­men­ti sospetti del sistema, come ad esempio il ri­scal­da­men­to im­mo­ti­va­to del vostro di­spo­si­ti­vo, una forte ven­ti­la­zio­ne o una lenta potenza di ela­bo­ra­zio­ne.

Poiché il cryp­to­jac­king non sempre infetta il sistema, ma dirotta anche le capacità di calcolo tramite degli script Java, pub­bli­ci­tà o streaming, il mining illegale può essere impedito bloccando gli script Java o le liste di filtri per il mining. Gli script Java possono quindi essere di­sa­bi­li­ta­ti in qualsiasi browser. Tuttavia, questo può com­por­ta­re la mancata ese­cu­zio­ne di alcune fun­zio­na­li­tà del sito web. Vi sono anche delle esten­sio­ni del browser come “No Coin” o “Mi­ner­Block” che tentano di prevenire di­ret­ta­men­te le attività di mining nel browser.

L’opzione ancora più sicura è uti­liz­za­re soluzioni di sicurezza olistiche, come My­De­fen­der di IONOS o Mal­ware­by­tes, che rilevano sia i malware “classici” che i malware di mining e li com­bat­to­no.

Dal momento che il cryp­to­jac­king può dan­neg­gia­re l’hardware e portare alla perdita di dati, è opportuno eseguire re­go­lar­men­te un backup dei vostri dati uti­liz­zan­do dei supporti esterni. My­De­fen­der di IONOS è un’opzione adatta che offre backup au­to­ma­ti­ci in data center cer­ti­fi­ca­ti ISO per una doppia pro­te­zio­ne e backup multipli. È inoltre possibile eseguire il backup di dati se­le­zio­na­ti o di interi sistemi.

I malware possono essere rag­grup­pa­ti in ap­pros­si­ma­ti­va­men­te tre categorie:

• Virus: codici di programmi malevoli che si mol­ti­pli­ca­no, ma­ni­po­la­no e dan­neg­gia­no i sistemi.
• Worms: una sot­to­clas­se dei virus che manipola i sistemi, li danneggia, apre l’accesso ad altri malware, so­vrac­ca­ri­ca la capacità del computer e, a dif­fe­ren­za dei virus, si diffonde senza l’in­ter­ven­to dell’utente, ad esempio at­tra­ver­so le e-mail e lo spam nelle reti; un esempio ben noto è Emotet.
• Trojan: codici di programmi maligni che non ri­pro­du­co­no ma ma­ni­po­la­no le funzioni del sistema.

Come dimostra il cryp­to­jac­king, i limiti tra i programmi maligni sono sottili. Ad esempio, i worm in­for­ma­ti­ci spesso servono ad aprire l’accesso a trojan e rootkit dannosi. Le funzioni più comuni del malware includono:

• Spio­nag­gio e phishing di dati sensibili di accesso e degli utenti.
• Dif­fu­sio­ne o download di ulteriori malware, ad esempio come parte di una botnet.
• In­fil­tra­zio­ne mirata a ef­fet­tua­re attacchi in­for­ma­ti­ci.
• “Hi­gh­jac­king” di sistemi per eseguire dei compiti pre­sta­bi­li­ti.
• So­vrac­ca­ri­co di computer e sistemi a causa di attacchi DDoS e DoS.
• Crit­to­gra­fia dei dati a scopo di estor­sio­ne come nel caso dei ran­som­ware.