Max Heinemeyer, Director of Threat Hunting, Darktrace, spiega come il fenomeno delle “altcoin” abbia portato a un’impennata di cyber attacchi e quali siano le possibili contromisure.
Gli ultimi 12 mesi hanno mostrato un’enorme volatilità nel valore delle criptovalute, e Bitcoin è l’esempio più noto.
All’inizio del 2017, Bitcoin si manteneva intorno ai 2 dollari prima di decollare improvvisamente, salendo fino ad altezze storiche di circa 20 dollari a dicembre 2017. La domanda da allora è diminuita, e al momento, il valore di Bitcoin è intorno ai 10 dollari.
Nonostante Bitcoin resti la criptovaluta più diffusa, molte alternative, spesso definite “altcoin”, sono emerse e cresciute a valore nell’ultimo anno. Per esempio, Dogecoin, creato in origine come una finta criptovaluta a seguito di un internet meme virale, ha raggiunto un notevole traguardo di capitalizzazione di 2 miliardi di dollari nel gennaio 2018.
Attualmente è quasi impossibile trarre profitto dai Bitcoin su hardware che sono commodity come laptop, smartphone o desktop.
In questo stato avanzato serve troppo tempo per eseguire i calcoli pertinenti e il costo dell’energia elettrica, nella maggioranza dei casi, è più alto del profitto previsto. Altre altcoin come Monero utilizzano algoritmi diversi che li rendono valide alternative per aspiranti crypto-miner. Spesso è ancora possibile fare mining di altcoin su hardware commodity e vedere un ritorno sugli investimenti.
Il valore della maggior parte di altcoin è strettamente legato al valore dei Bitcoin e, in molti casi, la relazione è ampiamente proporzionale: una crescita in Bitcoin induce un rialzo simile nelle altcoin. Monero, che è stata rapidamente adottata dai mercati Darknet, ha tratto profitto da questo effetto. Mentre nel gennaio 2017 era valutata intorno ai 10 dollari, il suo prezzo si è gonfiato fino ai 419 dollari nel giro di un anno.
Ci sono ancora molti aspetti non chiari sul fenomeno delle criptovalute. Il dibattito sul loro valore relativo e il loro status come moneta è acceso, e non si risolverà molto presto. Tuttavia, da una prospettiva di cyber sicurezza non ci sono dubbi che la combinazione tra la possibilità di fare mining di altcoin su hardware commodity, il fatto che il mining stia diventando redditizio come effetto collaterale della crescita di Bitcoin, e la maturità nella tecnologia legata alla criptovaluta abbia portato a un’impennata di attacchi correlati.
Vettori di attacco
Darktrace ha rilevato un improvviso aumento degli attacchi relativi alla criptovaluta negli ultimi 12 mesi. Sia la frequenza che la varietà di questi attacchi sono cresciute in modo significativo e in larga parte rispecchiano il notevole sviluppo nel valore di Bitcoin in quel periodo.
In precedenza, i cyber-criminali monetizzavano le loro operations tramite Trojan bancari/frodi di carte di credito, vendendo i dati rubati e i ransomware sul Darknet. Tuttavia, i criminali sono notoriamente flessibili e seguono i soldi ovunque li portino, causando un aumento di popolarità del cryptojacking.
Il mining di criptovalute potrebbe non essere tanto redditizio quanto il ransomware, ma può essere portato avanti segretamente per mesi senza creare il caos che caratterizza gli attacchi ransomware. La maggioranza degli utenti e dei prodotti di sicurezza potrebbe non notare se un miner di criptovalute venisse installato su un dispositivo aziendale, poiché non mostrerebbe minacce o segnali ovvi per un utente, tranne un occasionale aumento nell’utilizzo della CPU o della RAM.
Identificare questi attacchi può essere molto arduo per gli strumenti di sicurezza tradizionali, non originariamente progettati per cogliere questo tipo di minaccia. Non lo era neanche Darktrace, ma il suo approccio – che si basa sulla crescente comprensione di schemi di comportamento – permette di individuare questi attacchi senza dover sapere in anticipo cosa cercare. Darktrace ha rilevato vettori di attacco diversi legati agli attacchi alle cryptovalute.
Uso illegale di risorse aziendali
Darktrace ha individuato una gamma di incidenti, in cui i dipendenti installavano software di mining di criptovaluta su apparecchi aziendali per guadagno personale. Non dovendo pagare l’energia elettrica utilizzata per far funzionare il dispositivo aziendale in ufficio, praticamente questi dipendenti trasformano l’elettricità del datore di lavoro in denaro disponendone per operazioni di mining.
Questo è comunemente visto come una violazione della conformità e aumenta la superficie di attacco di un device che ha installato un software di mining. Mette quindi a rischio il dispositivo aziendale e aumenta anche i costi operativi, poiché il consumo di batteria normalmente si innalza per i dispositivi mining.
Le scelte di criptovaluta più popolari per questo tipo di mining negli ultimi 12 mesi sono stati Etherium e Monero, altcoin che possono essere oggetto di mining senza bisogno di un’elettricità eccessiva.
Mining guidato da Coinhive
Coinhive è una tecnologia che permette ai proprietari di siti web di utilizzare la potenza di calcolo dei propri visitatori per fare mining di una piccola frazione di criptovaluta per se stessi.
Gli utenti sperimenteranno un piccolo aumento nel consumo di risorse del computer mentre visitano il sito web. Alcuni siti sperimentano questo modello per creare nuove forme di profitto in alternativa alla pubblicità e ai banner.
L’uso di Coinhive spesso non è un processo opt-in. Darktrace ha rilevato diversi dispositivi di utenti che visitano regolarmente siti che sfruttano la tecnologia Coinhive. Nonostante l’aumento del consumo dell’energia elettrica per un dispositivo che visita un sito web con Coinhive è in definitiva insignificante, l’effetto cumulativo di una porzione considerevole della forza lavoro che visita siti web con questa tecnologia inconsapevolmente risulta in costi di consumo elettrici elevati per l’azienda nel suo insieme.
Malicious insider
Un malicious insider ha compromesso il sito del proprio datore di lavoro per inserirvi uno script Coinhive. Questo poi ha fatto mining di Monero per ciascun visitatore del sito web del datore di lavoro per il guadagno personale del malicious insider.
Malware tradizionale
I cyber criminali cercano costantemente di migliorare il ritorno sugli investimenti delle proprie attività; i dati suggeriscono che stiano iniziando ad adattare propri metodi di monetizzazione basati sui mezzi finanziari dei loro target. Nel caso, ad esempio, non riescano a pagare il riscatto estorto in un attacco ransomware, installeranno un crypto-miner sui loro dispositivi per assicurarsi che l’attacco non sia completamente infruttuoso.
Mentre gli autori dei malware diventano più sofisticati, spesso sviluppano malware multi-staged che possono scambiare payload usati per gli attacchi. Una volta che un malware ha infettato con successo un sistema, i suoi autori possono spesso decidere le azioni da intraprendere successivamente: criptare il dispositivo ed estorcere un riscatto? Installare un Trojan bancario per raccogliere i dettagli della carta di credito? Installare più moduli spyware per facilitare la fuoriuscita di dati? Oppure, ora, installare un miner di criptovaluta.
Questa tipologia di malware opera furtivamente e spesso non viene individuata per diverse settimane. Un’infezione potrebbe iniziare con una mail di phishing che contiene un documento con attivazione macro. Non appena un utente abilita la macro, il malware scaricherà uno stager senza file che vive nella memoria e non può essere rilevato dagli antivirus tradizionali. La comunicazione di comando e controllo è di solito mantenuta tramite gli indirizzi IP che cambiano su base giornaliera, così da superare la threat intelligence e i tentativi di blacklisting.
Siccome nessun danno evidente è apportato immediatamente, questi attacchi spesso restano sotto il radar per lungo tempo, a meno che non vengano implementate tecnologie self-learning come Darktrace.
Tutto questo è ancor più preoccupante dal momento che gli autori del malware possono cambiare un payload con un altro durante la notte, se lo ritengono più redditizio, passando da un Trojan di cripto-mining furtivo a un ransomware il giorno seguente.
Sebbene non abbiamo ancora osservato questo genere di attacco nell’ambiente, è plausibile e nel cyberspazio quello che può essere fatto, sarà fatto.
Conclusioni
Tecnologie rivoluzionarie come le criptovalute hanno sia lati positivi che negativi. Per tutta l’energia creativa nata dalla rivoluzione della cripto-blockchain, Bitcoin e le sue alternative sono diventate rapidamente la valuta universale del mondo criminale.
Infatti, l’ex Chief Economist della World Bank, Joseph Stiglitz – critico irremovibile delle criptovalute – ha affermato che l’intero valore dei Bitcoin risiede nel loro “potenziale di elusione” e nella “mancanza di vigilanza”.
L’opinione di Stiglitz potrebbe essere esagerata, ma non ci sono dubbi che i cyber criminali hanno percepito una nuova opportunità di guadagno. Molte organizzazioni considerano ancora il cripto-mining una semplice anomalia rispetto alla conformità.
Questo può portare a severe conseguenze poiché un dispositivo che fa mining di criptovalute potrebbe causare incidenti più gravi che possono avere un serio effetto sulle operations aziendali. Questo tipo di minaccia è difficile da individuare perché non viene apportato nessun danno evidente.
Tuttavia, con il machine learning di Darktrace possiamo collegare anche il più debole indicatore di un simile attacco a uno scenario compatibile di minaccia. Mentre gli strumenti tradizionali potrebbero avere difficoltà a vedere queste deviazioni, Darktrace può identificare i cambiamenti di comportamento causati dai miner di criptovalute senza dover contare su alcuna blacklist o signature.