Scoperto da Kaspersky Lab, il cryptominer PowerGhost ha già colpito a livello mondiale. Principali vittime gli utenti di aziende in Brasile, Colombia, India e Turchia. PowerGhost viene distribuito all’interno delle reti aziendali, infettando sia le workstation sia i server. È interessante notare come PowerGhost utilizzi diverse tecniche “fileless” per introdursi in modo discreto nelle reti aziendali: questo significa che il miner non scarica sul disco di memoria alcun file, rendendo più difficile le operazioni di rilevamento e remediation.
L’infezione di una macchina avviene da remoto, tramite exploit o strumenti di remote administration. Quando una macchina viene colpita, la parte principale del miner viene scaricata ed eseguita senza essere memorizzata su disco rigido. Una volta che questo processo è avvenuto, i cybercriminali possono predisporre l’aggiornamento automatico del miner, la sua diffusione all’interno della rete e l’avvio del processo di cryptomining.
Vladas Bulavas, Malware Analyst di Kaspersky Lab PowerGhost attacca le aziende con l’obiettivo di installare i miner, sollevando nuove preoccupazioni sui software di criptovalute. Il miner che abbiamo esaminato indica che colpire gli utenti ora non basta più e che i cybercriminali stanno rivolgendo la loro attenzione anche alle imprese. E questo fa del mining di criptovalute una vera minaccia per l’intera business community.
PowerGhost è solo l’ultimo nato di una preoccupante tendenza che vede i criminali informatici impiegare sempre di più i miner nei loro attacchi mirati per scopi economici. I miner sono in grado di sabotare e rallentare le reti dei computer aziendali, danneggiando le operazioni e ottenendo un guadagno economico nel corso del processo. Attualmente il mining di criptovalute è tra i temi più caldi sul fronte della cybersicurezza. Si tratta di un software specializzato nel “fare mining”, cioè riesce a creare nuova moneta digitale sfruttando la potenza di calcolo di pc o di dispositivi mobili. I miner malevoli fanno la stessa cosa, ma a spese degli utenti, sfruttando sempre la potenza di calcolo dei computer e dei dispositivi, ma all’insaputa dei loro proprietari. Negli ultimi tempi la minaccia è cresciuta in modo vertiginoso, arrivando a prendere il posto del ransomware come caso di software più dannoso, come dimostrato anche da una precedente ricerca di Kaspersky Lab.
PowerGhost aggiunge alcune novità a questa tendenza dimostrando che gli sviluppatori di miner malevoli stanno spostando la loro attenzione ad attacchi mirati a ottenere maggiori profitti sul fronte economico, come già previsto dai ricercatori di Kaspersky Lab. I prodotti sviluppati da Kaspersky Lab rilevano la minaccia PowerGhost fornendo i seguenti responsi:
-PDM:Trojan.Win32.Generic
-PDM:Exploit.Win32.Generic
-HEUR:Trojan.Win32.Generic
-not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
Per diminuire il rischio di miner malevoli, Kaspersky Lab consiglia di:
-provvedere sempre agli aggiornamenti su tutti i device in uso e utilizzare strumenti in grado di rilevare proprio le vulnerabilità e di scaricare e installare le patch in modo automatico.
-Non trascurare obiettivi che possono sembrare meno scontati di altri, ad esempio i sistemi di gestione delle file, i terminali POS, i distributori automatici, tutte apparecchiature che possono essere attaccate per fare mining di criptovalute.
-Utilizzare una soluzione di sicurezza dedicata, che disponga di funzionalità di controllo delle applicazioni, di rilevamento “behaviour-based” e di componenti di prevenzione dagli exploit, che possano monitorare azioni sospette delle applicazioni e l’esecuzione di blocchi di file malevoli. Come ad esempio Kaspersky Endpoint Security for Business.
-Informare ed educare i dipendenti e il team IT, tenendo separati i dati sensibili e limitando l’accesso.
