Coinjacking e Coin mining sono attività pericolose per ambienti datacenter e servizi IaaS, ne parliamo con Liviu Arsene, Senior E-threat Analyst di Bitdefender.
Le risposte dell’esperto si legano al recente studio pubblicato dall’azienda e realizzato sfruttando la telemetria delle proprie piattaforme sparse per il mondo.
– Le attività di coin mining possono danneggiare pesantemente la normale routine dei datacenter. Qual è secondo voi l’impatto più rilevante? Perché?
L’impatto più rilevante che le attività di mining possono avere su un data center è quello di trasformarsi in una vera e propria data breach. Il fatto che i criminali stiano utilizzando minacce sofisticate per inserire sistemi di cryptomining significa che hanno anche accesso all’intera infrastruttura. Mentre il coinjacking può essere considerato relativamente benigno, gli attaccanti potrebbero usare quel tipo di accesso per estrarre dati o distribuire altre minacce più pervasive.
– Quali strumenti avete usato per evidenziare la situazione attuale a livello globale e in Italia? Come funzionano?
Tutti i dati si basano sulla nostra telemetria di Bitdefender, proveniente da oltre 500 milioni di endpoint in tutto il mondo. Le statistiche si basano su rapporti ricevuti da endpoint univoci, sia a livello globale, che specificamente per l’Italia. Le tecnologie di rilevamento stratificate di Bitdefender rilevano i coin miners durante le varie fasi di infezione ed esecuzione.
Ad esempio, la tecnologia anti-exploit potrebbe potenzialmente rilevare un attacco che sfrutta una vulnerabilità per rilasciare software di coin-mining, oppure la nostra tecnologia di filtraggio web potrebbe rilevare un sito al quale fanno riferimento specifici script basati su browser. Queste tecnologie a più livelli vengono utilizzate per rilevare, prevenire e interrompere attacchi di tipo cryptojacking su endpoint e in ambienti datacenter.
– Quali suggerimenti potete dare agli amministratori IT per ridurre l’impatto di simili attività?
L’implementazione di una soluzione di sicurezza a più livelli in grado di coprire tutti i potenziali vettori di attacco e di rilevare minacce sofisticate è più che raccomandata. Per coloro che fanno affidamento su sistemi infrastructure as-a-service e provisioning automatico, si raccomanda di monitorare costantemente l’utilizzo delle risorse, stabilire una base per quelle che sono considerate normali operazioni e quindi indagare su eventuali potenziali picchi nel consumo delle risorse. Il coinjacking deve essere trattato come qualsiasi altra minaccia seria, poiché utilizza le stesse tecniche avanzate (ad esempio vulnerabilità zero day, manipolazione della memoria, ecc.) come gli APT.
– I sistemi periferici sono spesso i meno presidiati e potrebbero consentire agli attaccanti di infiltrarsi e di operare con capacità di spostamento laterale. Si capisce quanto sia fondamentale la protezione degli endpoint. Quali strumenti proponete?
Oltre all’implementazione di una soluzione di sicurezza completa e stratificata all’interno della infrastruttura, sono consigliati anche strumenti di base e strumenti EDR, in quanto possono aiutare gli amministratori IT a capire quando si è verificata una potenziale violazione, come è avvenuta e quali misure adottare per proteggere la propria infrastruttura contro minacce simili.