Se il trend di attacco del momento è il mining malevolo, per sfruttare le risorse di calcolo delle vittime ed emettere monete virtuali, allora la difesa non può prescindere da accorgimenti immediati e mirati
L’aumento del valore delle criptovalute ha incentivato gli hacker a colpire le CPU, su mobile, laptop e PC delle vittime per attività di mining (modalità utilizzata dalle criptovalute in generale per emettere moneta n.d.r.).
Incidenza degli attacchi di cryptojacking
Questi attacchi identificati come tipo criptojacking hanno avuto una tale incidenza che l’ultimo aggiornamento minacce di Check Point sui dati di febbraio, ha evidenziato come circa il 42% delle organizzazioni mondiali ne sia stato interessato. In particolare Coinhive, lo script di mining che sfrutta la CPU degli utenti che visitano determinati siti web per minare la criptovaluta Monero, è il malware più diffuso, sia in Italia sia nel resto del mondo, con una incidenza del 20% seguito da Cryptoloot al secondo posto con il 16% e Rig Exploit Kit (che diffonde Exploits per Flash, Java, Silverlight e Internet Explorer) come terzo per impatto sul 15% delle organizzazioni.
Segue nella classifica al quarto posto il miner JSEcoin, un JavaScript che può essere incorporato nei siti Web. Con JSEcoin, è possibile inserire un miner direttamentre nel browser in cambio di un’esperienza di navigazione senza annunci pubblicitari, percepiti sempre più come invasivi, ma naturalmente non viene reso evidente il fine ultimo di consumare risorse del device.
Recentemente era stato anche scoperto l’uso del miner XMRig ad opera di un attaccante presumibilmente di origine cinese, utilizzato su molte versioni di Windows per ricavare oltre 3 milioni in criptovaluta Monero. Successivamente lo stesso miner aveva attaccato il server Jenkins CI, nella speranza di generare ancora più criptovaluta.
I danni degli attacchi
Come già evidenziato nell’analisi dell’attacco RubyMiner, risalente a Gennaio, a danno dei web server, questi tipi di attacchi oltre ad essere caratterizzati dalla redditività per l’attaccante possono avere un impatto negativo sui server, causando tempi di caricamento più lenti e persino un Denial of Service (DoS) perché dipendentemente dalla forza dell’attacco (leggasi intensità n.sd.r.), il danno sulle macchine può essere rovinoso. A questo proposito, Maya Horowitz, Threat Intelligence Group Manager presso Check Point ha sottolineato come questo tipo di minaccia non solo rallenti PC e server, ma una volta che le reti sono attaccate, i malware di questo tipo possono anche essere utilizzati per provocare altri danni. Di conseguenza, è fondamentale per le aziende adottare una strategia di sicurezza informatica multilivello che protegga sia dalle famiglie di malware consolidate sia dalle nuove minacce”.
Azioni di difesa
In generale, il mining di criptovalute ha tre conseguenze: consumo di risorse del device (anche server), produttività dell’utente ridotta e un impatto negativo sulla reputazione aziendale e sulla soddisfazione del cliente. Per prevenire gli attacchi di mining sono necessarie quattro azioni mirate:
- Aggiornamento di tutti i sistemi e le applicazioni mediante patching perché rappresenta sempre una buona pratica di prevenzione per qualsiasi minaccia. Un processo di patching dovrebbe essere pianificato e regolarmente implementato affinché diventi una pratica abituale nell’ambiente IT. I limiti del patching riguardano l’impossibilità di raggiungere il 100% di patching e hardening in tempo reale di tutti i sistemi per la maggior parte delle organizzazioni e l’impossibilità di utilizzare il patching per proteggere dagli attacchi che sfruttano vulnerabilità sconosciute o zero-day.
- Implementare patch virtuali con un sistema di IPS: La tecnologia Intrusion Prevention System fornisce un livello di patch virtuale a tutti i sistemi, i server e gli endpoint aziendali. Un IPS efficace può prevenire la stragrande maggioranza degli attacchi di mining bloccando i tentativi di sfruttamento dei vostri sistemi, anche se non sono completamente protetti dalle patch. Alcuni IPS, hanno aumentato le protezioni sugli IPS per tutelare gli utenti, bloccando le pagine web che contengono JavaScript di mining.
- Utilizzo di protezioni avanzate contro gli attacchi zero-day: le protezioni convenzionali non riescono a prevenire e rilevare minacce che si presentano mediante l’uso di tecniche sempre più sofisticate. Per questo motivo una prevenzione più forte si basa su tecnologie di tipo sandboxing, non basato su firme, ma su analisi in tempo reale o ner real time, capaci di identificare malware sconosciuto e zero-day, incluso il tipo di malware per il mining che usa tecniche evasive.
- Proteggere gli asset cloud che potrebbero essere obiettivo di attacchi di mining: la capacità di auto-scaling del cloud si adegua perfettamente all’infinita sete di potenza della CPU dell’hacker che voglia utilizzare un malware di mining, perché a fronte di un consumo crescente di potenza di calcolo, la piattaforma cloud solitamente genera automaticamente più istanze, consentendo all’infezione di ottenere un’enorme scalabilità a spese della vittima. Le protezioni in Cloud, devono essere specificatamente disegnate per contrastare e proteggere
Il ricorso al cloud computing apre ulteriori vettori di attacco e ne è un esempio il recente attacco di mining ai server cloud di Uber che è stato, ottenuto utilizzando un’acquisizione dell’account. I dati della ricerca di Check Point mostrano che il 54% delle violazioni del cloud iniziano in questo modo. Attraverso questo tipo di attacco, gli account cloud vengono violati e una volta che un utente malintenzionato ha le credenziali del cloud, è facile per lui infettarlo con dei malware di mining (o qualsiasi altro tipo di malware n.d.r.). Le soluzioni in questo caso devono poter operare in modo da proteggere gli ambienti IaaS, Paas e SaaS impedendo l’accesso agli attaccanti anche se hanno ottenuto le credenziali di accesso. Questo significa profilare le modalità di accesso degli utenti leciti, mediante riconoscimento dei device, dei domini di accesso, creando quindi un pattern riconoscibile e associato che non è piu’ solo basato sulle credenziali di accesso.
Approfondimenti
Per l’analisi del Jenkins miner si può consultare il blog di CP.