Cos'è il cryptojacking?

Gli hacker utilizzano il codice di cryptojacking (un tipo di malware) per produrre e raccogliere preziose criptovalute senza sostenere alcun costo associato. In sostanza, ingannano le vittime inducendole a spendere le proprie risorse senza ottenere alcun vantaggio. Il cryptojacking è una minaccia crescente nel panorama della cybersecurity. Secondo il Sonicwall Cyber Threat Report del 2024, gli episodi di cryptojacking sono aumentati del 659% nel 2023. 

Le risorse per estrarre criptovalute possono essere costose. Gli attacchi di cryptojacking riusciti costringono le loro ignare vittime a sostenere i costi del processo di mining delle criptovalute, mentre il cryptojacker riscuote i profitti.

Gli attacchi di cryptojacking possono essere effettuati sul web, tramite script di cryptojacking basati su browser (spesso incorporati nel codice JavaScript di una pagina web) o tramite malware di cryptojacking distribuito come app o come virus in stile trojan attraverso attacchi di social engineering o phishing. Desktop, laptop, server, smartphone e altri dispositivi mobili infettati da codice di cryptojacking o software di cryptojacking spesso soffrono di prestazioni drasticamente ridotte, con conseguenti tempi di inattività operativi, oltre a bollette elettriche più elevate.   

Il cryptojacking è diverso da altri tipi di crimine informatico. Mentre le minacce informatiche come l'esfiltrazione dei dati o gli attacchi ransomware puntano in genere a rubare o appropriarsi dei dati degli utenti, il codice di cryptojacking ruba di fatto potenza di elaborazione ed elettricità. Il malware di cryptomining è progettato per iniettare nei bersagli un codice maligno sottile, progettato per eludere il rilevamento il più a lungo possibile.   

• Il cryptojacking in pratica: gli attacchi di cryptojacking, a volte chiamati cryptomining dannoso, tentano di impossessarsi dei dispositivi informatici o delle macchine virtuali (VM) degli utenti. Il cryptojacking opera sottraendo segretamente la potenza di elaborazione da ignare vittime per estrarne valute digitali. I criminali informatici raccolgono tutti i profitti generati dalle criptovalute, mentre le vittime pagano il conto.  

• Impatto del cryptojacking: le vittime del cryptojacking subiscono un aumento dei costi dell'elettricità e una riduzione delle prestazioni del sistema, il che può danneggiare l'hardware e causare surriscaldamento. Gli attacchi riusciti possono compromettere la privacy dei dati della vittima e dare vita ad altre minacce informatiche. 

• Vulnerabilità del cryptojacking: i vettori di attacco includono pagine web, browser web, estensioni e plug-in del browser, dispositivi Internet of Things (IoT) , e-mail e altre app di messaggistica. Il malware di mining può infettare la maggior parte dei tipi di sistemi operativi più diffusi. Gli hacker hanno preso di mira anche importanti fornitori di software e servizi, come Microsoft e YouTube.     

• Difesa dal cryptojacking: i metodi consigliati per difendersi contro gli attacchi di cryptojacking combinano rilevamento e risposta degli endpoint (EDR), disarmo e ricostruzione dei contenuti (CDR), soluzioni antivirus, gestione regolare dei task e monitoraggio dell'utilizzo della CPU, audit della supply chain, ad-blocker, blocco degli script, formazione del personale e rilevamento delle minacce in tempo reale.  

La criptovaluta è un tipo di asset digitale che non ha una rappresentazione fisica, bensì può essere scambiata con beni e servizi come la valuta tradizionale. Una delle principali innovazioni delle criptovalute è la capacità di inviare fondi direttamente tra le parti senza la necessità di intermediari. Le criptovalute vengono create utilizzando la tecnologia blockchain.

Una blockchain è come un registro virtuale che registra tutte le transazioni effettuate utilizzando uno specifico sistema blockchain. Le blockchain di criptovaluta sono spesso open source e consentono a chiunque di esaminare il codice sottostante.

Oltre alle criptovalute, i sistemi blockchain sono utili anche per altre applicazioni che devono tracciare e convalidare qualsiasi tipo di record. Inoltre, le blockchain private possono essere utilizzate da sistemi che tracciano informazioni sensibili. 

• Blockchain: una blockchain è un registro digitale condiviso e immutabile, utilizzato per registrare e tracciare le transazioni all'interno di una rete e fornire un'unica fonte di verità verificata. 

• Criptovaluta: la criptovaluta è un asset digitale generato decifrando blocchi di codice crittografati e memorizzati su una blockchain. Le unità di criptovaluta sono spesso chiamate monete o token e vengono utilizzate come compensazione per gli utenti che scambiano risorse informatiche ed energetiche per decrittografare le monete e convalidare le transazioni blockchain.

• Miner: i criptominer (o semplicemente miner) sono gli utenti che eseguono il software di cryptomining che genera nuovi token e convalida le transazioni on-chain. 

Ciò che rende una blockchain così potente è la decentralizzazione. Una blockchain pubblica, come quella utilizzata da Bitcoin, non è memorizzata in un'unica fonte. Il blockchain viene invece duplicato su un numero qualsiasi di nodi, ovvero sistemi informatici eterogenei, ciascuno dei quali esegue un software di cryptomining che monitora e verifica la validità del blockchain condiviso.

Quando viene effettuata una transazione sulla blockchain, una determinata soglia di nodi deve convalidare la transazione prima che venga scritta nel registro generale. Questo processo assicura che ogni transazione sia legittima e risolve i problemi comuni della moneta digitale, come la doppia spesa o la frode. Sebbene le identità dei singoli utenti possano essere anonime, tutte le transazioni su una blockchain pubblica sono di dominio pubblico e disponibili per chiunque vi abbia accesso.

Nel caso delle criptovalute, la blockchain memorizza anche alcuni token, o monete. Queste monete sono crittografate tramite complessi problemi matematici chiamati blocchi hash. Per generare una nuova moneta, gli utenti del sistema blockchain devono dedicare le proprie risorse di calcolo alla decrittografia di ogni hash. Questo processo è chiamato cryptomining e in genere richiede un'enorme quantità di potenza di elaborazione. Gli utenti che utilizzano le proprie risorse per generare nuove monete e convalidare le transazioni di altri utenti sono chiamati miner.

Risolvere gli hash delle criptovalute e convalidare le transazioni può essere costoso, sia in termini di hardware che di elettricità. Le monete sono un pagamento per i miner che sostengono il costo dell'hardware e dell'energia. Decrittografare un intero blocco hash richiede molte più risorse rispetto alla convalida di una transazione. Ciò significa che la verifica della transazione viene compensata a un tasso inferiore, calcolato come percentuale proporzionale del valore della transazione correlata alle risorse richieste. 

Un'operazione legittima di mining di criptovalute può comportare ingenti spese operative, sotto forma di elevati costi per l'elettricità e l'hardware. Un esempio possono essere le unità di elaborazione grafica (GPU), progettate per una potenza di elaborazione e un'efficienza superiori a quelle che una normale unità di elaborazione centrale (CPU) può offrire. Tuttavia, mentre alcune criptovalute come Bitcoin richiedono quantità estreme di energia e potenza di calcolo, altre valute, come Monero, ne richiedono molte meno. 

Un cryptojacker di successo potrebbe essere in grado di requisire le CPU (o qualsiasi tipo di processore) di molte vittime. Possono rubare efficacemente i cicli di CPU inutilizzati e utilizzarli per eseguire calcoli di cryptomining, inviando le monete ottenute al proprio portafoglio digitale anonimo. In aggregato, molti processori più lenti possono ancora generare una quantità significativa di criptovaluta. Un cryptojacker potrebbe farlo direttamente (infettando con malware il computer di una vittima) o indirettamente (sottraendo i cicli del processore mentre un utente visita un sito web infetto). 

Esistono tre tipi principali di cryptojacking che possono essere utilizzati in modo efficace, sia in modo indipendente che come approccio ibrido. Tipi più avanzati di codice di cryptojacking possono comportarsi come un worm virus, infettando le risorse connesse e mutando il proprio codice per eludere il rilevamento. Questi sono i tre tipi di cryptojacking:

• Cryptojacking basato su browser: questo tipo di cryptojacking viene eseguito direttamente in un browser web e non richiede alla vittima di installare alcun software aggiuntivo. Semplicemente navigando su un sito web in cui è stato iniettato un codice di cryptojacking dannoso, le risorse informatiche della vittima possono essere dirottate verso il mining di criptovalute nascosto. 

• Cryptojacking basato su host: il cryptojacking basato su host si riferisce al malware di cryptojacking che è stato scaricato sul dispositivo o sul sistema di un bersaglio. Poiché questo tipo di cryptojacking richiede agli utenti di scaricare e memorizzare del software, può essere più facile da rilevare. Tuttavia, può anche funzionare 24 ore su 24, comportando un maggiore consumo di energia e un maggiore spreco di risorse. 

• Cryptojacking basato sulla memoria: il cryptojacking basato sulla memoria è più difficile da rilevare ed è più raro del cryptojacking basato su browser o host. Questo tipo utilizza tecniche avanzate, come l'iniezione di codice e la manipolazione della memoria, per utilizzare la RAM per il cryptomining in tempo reale, senza lasciare alcuna traccia. 

A seconda del tipo di attacco, la maggior parte degli incidenti di cryptojacking segue un processo simile in quattro fasi.

La prima fase di un attacco di cryptojacking ruota attorno all'esposizione di un bersaglio a codice dannoso. Affinché un criminale informatico commetta il cryptojacking, deve trovare un modo per introdurre qualche tipo di script di cryptojacking nel sistema della vittima.

Potrebbe trattarsi di un'e-mail di phishing che induce la vittima a scaricare un programma di cryptomining, oppure potrebbe essere innocuo come un annuncio pubblicitario con JavaScript abilitato su un sito web affidabile. 

La fase di implementazione inizia una volta che il codice dannoso è entrato nel sistema della vittima. Durante questa fase, lo script di cryptomining inizia a funzionare in background, attirando il meno possibile l'attenzione su di sé. Più a lungo uno script di cryptojacking passa inosservato, più può essere redditizio.

I "migliori" script di cryptomining sono progettati per allocare erroneamente quanta più potenza di elaborazione possibile senza alcun impatto evidente sulle prestazioni del sistema della vittima. Sebbene l'implementazione di uno script che richiede una potenza di calcolo relativamente bassa sia nell'interesse del cryptominer perché lo aiuta a evitare il rilevamento, i codici di cryptojacking sono avidi per natura. Spesso consumano risorse a scapito delle prestazioni di sistema più ampie e con spese energetiche più elevate. 

Una volta completata la fase di implementazione, inizia la fase di mining. Dopo un'implementazione di successo, il codice di cryptojacking inizierà a utilizzare le risorse della vittima per estrarre criptovaluta. Lo fa risolvendo complicati hash crittografici che generano nuove monete o verificando le transazioni della blockchain per guadagnare ricompense in criptovalute. 

Tutte queste ricompense vengono inviate a un portafoglio digitale controllato dal cryptojacker. Le vittime del cryptojacking non hanno modo di reclamare la criptovaluta generata dalle risorse per cui pagano.

Le criptovalute sono più difficili da tracciare rispetto alle tipologie di asset tradizionali. Sebbene alcune monete siano più anonime di altre, può essere impossibile recuperare qualsiasi valuta estratta tramite cryptojacking. Anche se le transazioni effettuate su blockchain pubbliche sono di dominio pubblico, è difficile far risalire le criptovalute illecite a criminali informatici identificabili. Gli strumenti di finanza decentralizzata (DeFi) possono rendere ancora più difficile il tracciamento dei cryptojacker. Questi strumenti consentono ai detentori di criptovalute di riunire risorse crittografiche in strumenti come pool finanziari che funzionano come opportunità di investimento tradizionali, pagando dividendi senza dover prelevare il capitale iniziale. Sebbene questi strumenti siano progettati e utilizzati da molti investitori legittimi, i malintenzionati possono approfittare della natura decentralizzata delle criptovalute per coprire le proprie tracce. 

L'infiltrazione è sempre il primo passo in qualsiasi attacco di cryptojacking. Il cryptojacking è una pericolosa forma di criminalità informatica, poiché gli hacker hanno a disposizione molti modi per diffondere il codice di cryptojacking. Alcuni modi in cui un hacker potrebbe infiltrarsi nel sistema di una vittima includono:

• Phishing: un'e-mail di phishing può contenere un link che attiva il download di malware. Una vittima potrebbe fare clic su un link per visualizzare quello che sembra essere un buono regalo digitale ma che in realtà contiene malware, installando inconsapevolmente software dannoso di criptomining senza rendersi conto di essere stata truffata. 

• Sistemi mal configurati: macchine virtuali (VM), server o container mal configurati ed esposti al pubblico sono un invito aperto agli hacker che cercano di ottenere un accesso remoto non autenticato. Una volta dentro, installare un software di cryptojacking è un lavoro banale per i criminali informatici esperti. 

• Applicazioni web compromesse: l'accesso a un'applicazione web con porte non protette, anche da un provider affidabile o comunque ben intenzionato, può esporre il sistema di una vittima al codice di cryptojacking.

• Estensioni del browser infette: le estensioni del browser, note anche come componenti aggiuntivi o plug-in, sono programmi software relativamente piccoli, utilizzati per migliorare e personalizzare l'esperienza di navigazione web di un utente. Estensioni come ad-blocker o password manager sono disponibili per la maggior parte, se non per tutti, i browser web più diffusi (come Google Chrome, Microsoft Edge, Mozilla Firefox e Apple Safari). Sebbene la maggior parte delle estensioni sia sicura, anche le estensioni note e ampiamente utilizzate possono essere compromesse con il codice di cryptojacking iniettato da criminali subdoli. Sebbene uno sviluppatore di estensioni rispettabile sia incline a seguire le best practice di cybersecurity, in un ambiente di minacce informatiche in continua evoluzione, gli hacker prendono di mira e occasionalmente si infiltrano anche tra gli sviluppatori più affidabili. Utilizzando tecniche come gli exploit zero-day, gli hacker possono iniettare software di cryptojacking nel software degli sviluppatori più affidabili. Ancora più facilmente, gli hacker possono creare le loro versioni contraffatte delle estensioni, progettate per indurre gli utenti a scaricare malware invece di un'estensione utile e convalidata. 

• JavaScript compromesso: il codice scritto in JavaScript è suscettibile al cryptojacking. Gli hacker possono caricare o infettare una libreria JavaScript apparentemente sicura, riuscendo a infiltrarsi quando una vittima inconsapevole scarica del codice compromesso.    

• Minacce interne: le minacce interne, come un dipendente scontento o poco addestrato, o un criminale informatico con credenziali rubate, sono comuni vettori di attacchi di cryptojacking. 

• Attacchi basati su cloud: i sistemi di cloud computing in rete aumentano esponenzialmente i vettori di attacco per i criminali informatici, e il cryptojacking non fa eccezione. La recente e continua ondata di applicazioni di intelligenza artificiale (AI) basate su cloud, come i modelli linguistici di grandi dimensioni (LLM), crea ancora più opportunità per gli attacchi di cryptojacking che possono infiltrarsi in un solo nodo e diffondersi in un'intera rete.

Per i privati, l'esecuzione di software di cryptomining in background su computer utilizzati per altre attività non è redditizia. Tuttavia, su larga scala, questi piccoli guadagni possono sommarsi. Il cryptojacking può rivelarsi redditizio quando gli hacker più abili riescono a infettare molti sistemi individuali, soprattutto perché i cryptohacker non pagano i costi dell'hardware o dell'energia. 

In generale, poiché il cryptomining è una procedura che richiede molte risorse, i cryptominer legittimi utilizzano quasi sempre hardware dedicato e di fascia alta per le loro operazioni. Sebbene alcuni hardware aziendali o addirittura di livello consumer siano in grado di eseguire il mining delle criptovalute, le best practice consigliano di non dedicare meno del 90% delle risorse alle operazioni di mining. 

Sebbene i costi associati alla creazione e alla gestione di un sistema di criptomining dedicato abbiano portato gli appassionati a eseguire il mining sul loro hardware principale, questa pratica genera raramente guadagni significativi. Inoltre, i profitti derivanti da queste attività sono spesso profondamente ridotte dal costo dell'energia aggiuntiva consumata per eseguire i calcoli di mining intensivi, ma anche dall'usura dell'hardware costoso. 

Per le aziende e le grandi organizzazioni, i costi del cryptojacking sono ancora maggiori e includono il rallentamento operativo e le potenziali violazioni della privacy dei dati. I principali impatti del cryptojacking per le aziende includono:

Gli attacchi di cryptojacking sono progettati per essere eseguiti in background, rimanendo nascosti e sconosciuti il più a lungo possibile. Pertanto, i codici di cryptojacking possono essere difficili da rilevare. Tuttavia, ci sono alcuni segnali che indicano che un sistema potrebbe essere infettato da un software di cryptomining dannoso:

• Aumento inspiegabile del consumo di energia: poiché il software di cryptomining consuma molta energia, picchi improvvisi e inspiegabili di consumo energetico possono indicare un cryptomining non autorizzato. 

• Surriscaldamento del dispositivo: il cryptomining fa sì che l'hardware si surriscaldi. Quando l'hardware del sistema si surriscalda, o semplicemente impegna maggiormente le ventole e i sistemi di raffreddamento, ciò può essere il sintomo di un attacco di cryptojacking. 

• Rallentamenti inspiegabili: il cryptojacking consuma le risorse del computer, con conseguente rallentamento delle operazioni complessive. I sistemi che faticano a completare le normali attività di calcolo sono un segno comune di cryptojacking.

• Utilizzo elevato della CPU: quando si indaga su un potenziale attacco di cryptojacking, un indicatore è un utilizzo della CPU superiore al normale durante l'esecuzione di operazioni solitamente poco impegnative. 

La difesa dal cryptojacking richiede un approccio che, per fortuna, è congruente con molte altre strategie di cybersecurity generiche. Quelle che seguono sono misure di difesa comuni ed efficaci:

• Formazione rigorosa del personale: come spesso accade per qualsiasi minaccia informatica, l'errore umano è il vettore di attacco più persistente e potenzialmente più dannoso. La formazione e l'istruzione sugli attacchi di phishing, la navigazione sicura e le pratiche di condivisione dei file sono una prima linea di difesa critica contro il cryptojacking. 

• Soluzioni EDR e CDR: poiché il cryptojacking richiede un sistema infetto per comunicare con i malintenzionati, i comuni strumenti antivirus in grado di scansionare il software alla ricerca di segni noti di criminalità informatica possono essere efficaci contro il cryptojacking.

• Disabilitare JavaScript: poiché JavaScript è un vettore di attacco per il cryptojacking, disabilitarlo completamente può rappresentare una difesa efficace.