Introduzione della nuova copertura della piattaforma Vectra AI per Copilot e Microsoft Azure

Vectra AI Giappone, ITR発行の最新レポート内「NDR市場」にて国内トップシェアを獲得
詳細を見る
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Tecnica di attacco

Attacchi di cryptomining

Gli aggressori del cryptomining utilizzano l'infrastruttura aziendale per estrarre criptovalute. Drenano risorse e aumentano i costi operativi e sono un segno di pericolose lacune nella sicurezza. Ecco cosa devono sapere i difensori.

Definizione
Come funziona
Perché gli aggressori lo usano
Rilevamento
DOMANDE FREQUENTI
Definizione

Che cos'è un attacco di cryptomining?

Un attacco di cryptomining, spesso definito come cryptojacking, si riferisce all'uso non autorizzato di risorse informatiche per estrarre criptovalute. A differenza degli attacchi informatici tradizionali che mirano a rubare dati sensibili o a lanciare ransomware, l'obiettivo principale di un attacco di cryptomining è quello di generare profitti in criptovaluta per l'attaccante.

Come funziona

Come funzionano gli attacchi di cryptomining?

Un attacco di cryptomining si verifica quando un aggressore installa malware - noto anche come script di cryptojacking - sul computer della vittima, che poi sfrutta la CPU, la GPU o altre risorse di calcolo per estrarre criptovalute come Bitcoin, Monero o Ethereum. Questo permette all'aggressore di condurre attività di cryptomining apparentemente legittime: Le criptovalute utilizzano database chiamati blockchain, costituiti da "blocchi" di transazioni recenti che vengono aggiornati frequentemente mediante un complesso processo matematico. La produzione di nuovi blocchi richiede potenza di calcolo, che i singoli "minori" scambiano con piccole quantità di valuta. Il cryptojacking consente agli aggressori di effettuare questa operazione su larga scala.

Gli aggressori a volte utilizzano phishing e-mail o aggiornamenti software compromessi per installare il programma di cryptomining malware su computer portatili o persino su dispositivi mobili: anche se i telefoni hanno una potenza di elaborazione inferiore, infettarne molti in una volta sola rende l'operazione conveniente.

In molti casi, gli script di cryptojacking vengono distribuiti attraverso i browser web o gli annunci online. Gli aggressori utilizzano anche il cryptojacking basato sul browser per iniettare codice JavaScript dannoso nei siti web. Quando qualcuno visita un sito infetto, lo script inizia a estrarre criptovaluta utilizzando i dispositivi dei visitatori senza il loro consenso. Questo tipo di cryptojacking non richiede l'installazione di malware e si interrompe una volta che l'utente lascia il sito.

Il processo di cryptomining / cryptojacking
Perché gli aggressori lo usano

Perché gli aggressori utilizzano gli attacchi di cryptomining?

Gli aggressori utilizzano il cryptomining, nello specifico il cryptomining illecito o "cryptojacking", per generare guadagni finanziari sfruttando la potenza di elaborazione dei sistemi compromessi senza il consenso dei proprietari. Infettando computer, server o persino dispositivi Internet of Things (IoT) con il cryptomining malware, gli aggressori possono estrarre criptovalute come Bitcoin o Monero, traendo profitto dalle risorse delle vittime. Ecco i motivi principali per cui gli aggressori si dedicano al cryptomining:

Guadagno finanziario

  • Profitto diretto: L'estrazione di criptovalute può essere redditizia, soprattutto quando gli aggressori sfruttano numerosi dispositivi compromessi per l'estrazione collettiva.
  • Evitazione dei costi: Gli aggressori aggirano i costi sostanziali associati all'acquisto di hardware ed elettricità per il mining, massimizzando i loro profitti.

Anonimato e facilità di monetizzazione

  • Difficile da rintracciare: Le criptovalute offrono un certo grado di anonimato, rendendo difficile per le autorità risalire agli aggressori.
  • Accessibilità globale: Gli aggressori possono operare a livello internazionale senza dover ricorrere ai sistemi bancari tradizionali, riducendo il rischio di rilevamento finanziario.

Basso rischio rispetto ad altri crimini informatici

  • Minore rilevamento: Il Cryptomining malware viene spesso eseguito silenziosamente in background, rendendo meno probabile che le vittime notino un impatto immediato rispetto al ransomware o al furto di dati.
  • Ambiguità legale: Poiché il cryptomining non comporta sempre la distruzione o il furto di dati, a volte riceve meno attenzione da parte delle forze dell'ordine.

Scalabilità

  • Ampio raggio d'azione: Gli aggressori possono infettare un vasto numero di dispositivi, tra cui personal computer, server aziendali e dispositivi IoT, aumentando la produzione mineraria.
  • Cloud sfruttamento: La compromissione delle infrastrutture di cloud consente agli aggressori di utilizzare risorse computazionali significative, amplificando le loro capacità di estrazione.

Sfruttamento delle risorse

  • Utilizzo di risorse inutilizzate: Molti sistemi dispongono di potenza di elaborazione inutilizzata che gli aggressori possono sfruttare senza incidere significativamente sulle prestazioni, ritardando il rilevamento.
  • Aggiramento dei costi energetici: Le vittime si fanno carico dell'aumento dei costi dell'elettricità, consentendo agli aggressori di trarre profitto senza spese generali.

Facilità di implementazione e automazione

  • Strumenti automatizzati: Gli aggressori utilizzano malware e botnet sofisticate per distribuire in modo efficiente i cryptominer su numerosi sistemi.
  • Sfruttare le vulnerabilità: Sfruttano software non aggiornato, configurazioni di sicurezza deboli e tattiche di social engineering per infettare i dispositivi.

Complementare ad altri attacchi

  • Dual-purpose malware: Cryptomining malware può essere combinato con altre attività dannose come il furto di dati o il ransomware, massimizzando il ritorno sull'investimento dell'attaccante.
  • Presenza persistente: Stabilire un punto d'appoggio in un sistema consente agli aggressori di eseguire attività dannose continue oltre al cryptomining.
Rilevamenti della piattaforma

Come rilevare gli attacchi di cryptomining

Gli attacchi di cryptomining possono essere difficili da individuare perché sono progettati per rimanere nascosti. Esistono tuttavia alcuni modi per individuarli, ad esempio prestando attenzione ai ritardi dei dispositivi e all'aumento dell'utilizzo della CPU. Tuttavia, questo approccio osservazionale richiede che i dipendenti segnalino i problemi di prestazioni, sempre che li notino. Un metodo più affidabile è quello di utilizzare l'intelligenza artificiale e l'apprendimento automatico.

Vectra AI ha creato dei rilevamenti basati sull'intelligenza artificiale per individuare gli attacchi in base ai loro comportamenti. Questo include un rilevamento del mining di criptovalute incentrato sull'identificazione dell'uso non autorizzato delle risorse informatiche di un'organizzazione per il mining di criptovalute.

Rilevamento
AWS Cryptomining
Per saperne di più
Esplora tutti i rilevamenti

Proteggete la vostra rete con rilevamenti avanzati

Il mining di criptovalute è una delle decine di rilevamenti avanzati guidati dall'intelligenza artificiale disponibili nella piattaforma Vectra AI , che copre il 90% delle tecniche MITRE ATT&CK rilevanti.

Esplora la piattaforma
Per saperne di più

DOMANDE FREQUENTI