Mentre gli attacchi ransomware come NotPetya e WannaCry facevano notizia (e soldi) nel 2017, il mining di criptovalute stava silenziosamente guadagnando forza come erede quando si tratta di comportamenti opportunistici per il guadagno monetario.
Il messaggio qui sotto, pubblicato su reddit, evidenzia la gravità del problema del mining di criptovalute che affligge le università. In alcuni casi, studenti intraprendenti effettuano il mining di criptovalute utilizzando computer di fascia alta o lanciando un esercito di botnet per svolgere il lavoro.
Dove è più diffuso il mining di criptovalute?
Con l'aumento del valore di criptovalute come bitcoin, Ethereum e Monero, si è registrato un corrispondente aumento del numero di computer nei campus universitari che eseguono il mining o che sono stati dirottati dai minatori per elaborare gli hash delle criptovalute.
Un'analisi di Vectra dei primi cinque settori che hanno mostrato comportamenti di attacco di criptovalute da agosto 2017 a gennaio 2018 mostra che l'istruzione superiore ha superato facilmente gli altri quattro messi insieme.
Fonte: Edizione RSA 2018 del rapporto di settore sul comportamento degli attaccanti di Vectra.
Perché le università?
Il mining di criptovalute converte l'elettricità in valore monetario utilizzando le risorse di calcolo. È molto costoso da realizzare senza una fonte di energia gratuita e molte risorse di calcolo con controlli di sicurezza minimi ed esposte a Internet. Le grandi popolazioni studentesche sono il terreno ideale per i cryptojackers.
Le aziende applicano severi controlli di sicurezza per prevenire i comportamenti di mining di criptovalute. Tuttavia, le università non hanno lo stesso lusso con gli studenti. Al massimo possono consigliare agli studenti come proteggere se stessi e l'università installando le patch del sistema operativo e creando consapevolezza delle e-mail phishing , dei siti web sospetti e delle pubblicità sul web.
Gli studenti che estraggono criptovalute sono semplicemente opportunisti, dato che il valore delle criptovalute è aumentato nell'ultimo anno, con un picco di 19.000 dollari per il bitcoin (fonte: Coinbase) nel gennaio 2018. Anche al valore attuale di 9.000 dollari per bitcoin, rimane una tentazione redditizia.
Il numero di computer che elaborano hash di criptovalute nei campus universitari è aumentato prima che il valore del bitcoin superasse i 4.000 dollari nel 2017. I grafici sottostanti mostrano che l'attività di mining di criptovalute è aumentata 30 giorni prima dell'aumento del valore del bitcoin.
I rilevamenti di mining di criptovalute sono aumentati prima del picco dei prezzi
Fonte: Edizione RSA 2018 del rapporto di settore sul comportamento degli attaccanti di Vectra.
Anche se il valore del bitcoin è sceso del 50% dal suo picco a meno di 10.000 dollari, il numero di computer che eseguono il mining di criptovalute non è diminuito.
Purtroppo, ogni volta che uno studente o un malintenzionato sfrutta un'opportunità, l'università paga i costi dell'elettricità e dell'esposizione a ulteriori rischi. Contrariamente a quanto crede lo studente universitario che ha postato su reddit, l'elettricità non è gratuita.
Perché è pericoloso?
Il mining di criptovalute è un comportamento di attacco opportunistico che utilizza le botnet per creare un grande pool di potenza di calcolo. È considerato più una seccatura che un attacco informatico mirato, che mette a rischio le informazioni di identificazione personale(PII), le informazioni sanitarie protette(PHI) e i dati finanziari. Ma in alcuni casi, queste attività di botnet rappresentano un rischio elevato per le organizzazioni:
- Creano rumore che può nascondere seri problemi di sicurezza;
- Hanno un impatto sulla reputazione dell'indirizzo IP di un'organizzazione, causandone l'inserimento nella black list;
- I criminali informatici acquisteranno l'accesso ai computer compromessi dai cryptojackers per lanciare attacchi mirati contro le università.
Se gli utenti del computer installano intenzionalmente un software per il mining di criptovalute, il rischio può essere minimo, anche se potrebbero installare altri software per la creazione di denaro che presentano un rischio maggiore.
Il mining di criptovalute consuma la potenza di calcolo di un sistema. Di conseguenza, i sistemi infetti subiscono un'usura maggiore a causa dell'elaborazione dei blocchi di criptovaluta, rendendo i sistemi infetti anormalmente lenti.
Anche se malware cryptomining non prendono di mira le persone, i criminali informatici possono infettare i sistemi che utilizzano unità di elaborazione grafica (GPU) o schede video ad alte prestazioni. Questo accelera gli hash ad alta intensità di GPU utilizzati dalle criptovalute come il bitcoin. I giocatori e gli altri utenti di applicazioni ad alta intensità grafica sono bersagli particolarmente ghiotti.
Il cryptojacking è il re
La mancanza di computer dotati di GPU di fascia alta ha dato origine a un nuovo tipo di mining di criptovalute all'interno del browser che sfrutta la normale potenza della CPU. Chiamato cryptojacking, non richiede l'installazione di un programma e può avvenire semplicemente visitando un sito web.
Quando Coinhive è stato lanciato nel settembre 2017 e ha dato il via alla frenesia del cryptojacking, internet è impazzito per i minatori di criptovalute in-browser. Nuovi siti che offrono servizi simili continuano a spuntare settimanalmente, consentendo ai minatori di produrre la criptovaluta Monero.d
Sebbene l'estrazione di Monero in background su un sito web possa essere una valida alternativa alla visualizzazione di annunci pubblicitari invasivi, quasi nessuno di questi servizi consente agli utenti di sapere cosa sta accadendo o di interrompere il comportamento di estrazione. La maggior parte si comporta come un malware, requisendo segretamente i computer e utilizzando le risorse senza autorizzazione.
Qual è l'impatto?
Il mining di criptovalute si misura in base al numero di tentativi di trovare un blocco che un miner può eseguire. Ogni tentativo comporta la creazione di un candidato blocco unico e la creazione di un digest del candidato blocco utilizzando SHA-256d, un hash crittografico misurato in hash al secondo (h/s).
Da settembre 2017, il mining in-browser di Monero è salito alle stelle. Il mining di Monero richiede il calcolo di hash utilizzando un algoritmo chiamato CryptoNight. Questo algoritmo è ad alta intensità di calcolo e, sebbene lento, funziona bene sulle CPU consumer.
È possibile eseguire l'algoritmo CryptoNight su una GPU, ma il vantaggio è di circa 2x, non di 10.000x, come per altri algoritmi utilizzati da bitcoin o Ethereum. Questo rende CryptoNight un obiettivo per JavaScript e per il browser, perché è facile costruire uno script che si adatti a un ampio insieme di sistemi per il mining distribuito in pool.
Quando viene eseguito tramite JavaScript, le prestazioni del mining sono ridotte ma ancora accettabili. Il miner utilizza WebAssembly e funziona con circa il 65% delle prestazioni di un miner nativo. Una CPU Intel i7, una delle CPU desktop più veloci, produce circa 90 h/s. Un miner nativo raggiunge 140 h/s. Il mining basato su CPU è sufficiente per le botnet.
Utilizzando un calcolatore delle prestazioni di Monero, una velocità di 90 h/s su 812 dispositivi che effettuano il mining 24 ore su 24, 7 giorni su 7, produce questi risultati:
Punti di forza
Il cryptojacking e il mining di criptovalute sono attività redditizie e opportunistiche che probabilmente aumenteranno man mano che sostituiranno il ransomware e l'adware come metodo de facto per gli individui che cercano di fare soldi velocemente.
Per saperne di più su altri tipi di comportamenti di cyberattacco riscontrati in ambienti cloud, data center ed enterprise reali, è possibile ottenere l'edizione 2018 della Conferenza RSA dell'Attacker Behavior Industry Report di Vectra.