L’Anti-Malware Research team di Kaspersky Lab ha scoperto due botnet composte da computer infettati da malware che installano segretamente miner di cryptovaluta, software legittimi usati per creare monete virtuali basate sulla tecnologia blockchain.
Secondo le analisi dei ricercatori di Kaspersky Lab, un network composto da 4.000 macchine fruttava ai suoi proprietari oltre 30.000 dollari al mese, mentre – in un altro caso – una botnet composta da 5.000 PC permetteva ai cyber criminali di guadagnare oltre 200.000 dollari.
L’architettura dei Bitcoin e delle altre cryptovalute consente sia di acquistare moneta virtuale che di crearne usando la potenza di calcolo di macchine sulle quali è installato un software di “mining” dedicato. Al contempo, secondo il concetto di cryptovaluta, l’aumento del numero dei singoli bitcoin creati comporta l’aumento del tempo e della potenza di calcolo necessari per crearne di nuovi. Alcuni anni fa, i malware che installavano segretamente i miner di Bitcoin (che usano i computer delle vittime per creare valuta per i cyber criminali) erano comuni nel panorama delle minacce. Tuttavia, con l’aumento del mining di Bitcoin, è diventata un’attività sempre più difficile e, ad un certo punto, questo processo è diventato inutile: il possibile guadagno economico dei criminali non avrebbe più coperto l’investimento necessario per creare e distribuire il malware e supportare l’infrastruttura back-end richiesta.
Tuttavia, il successo della valuta Bitcoin – la prima e più celebre – che, nel corso degli ultimi anni, ha raggiunto il valore di centinaia di migliaia di dollari per singolo bitcoin, ha comportato una vera e propria “febbre da cryptovaluta” in tutto il mondo. Centinaia di gruppi e startup entusiasti hanno iniziato a rilasciare la propria valuta virtuale alternativa, molte delle quali hanno ottenuto un valore di mercato significativo in un arco di tempo relativamente breve.
Questi cambiamenti nei mercati delle cryptovalute hanno inevitabilmente attratto l’attenzione dei cyber criminali, che stanno tornando ai vecchi schemi fraudolenti, che prevedono l’installazione di software per il mining di cryptovaluta su migliaia di PC all’insaputa degli utenti.
Secondo i risultati della ricerca condotta dagli esperti di Kaspersky Lab, i criminali che si celano dietro le botnet recentemente scoperte diffondono il software di mining grazie a programmi adware, che le vittime installano volontariamente. Una volta installato sul computer della vittima, il programma adware scarica un componente nocivo: l’installer del miner. Questo componente installa il software di mining e svolge diverse attività affinché il miner possa operare il più a lungo possibile, come:
- Tentare di disattivare il software di sicurezza;
- Tracciare le applicazioni lanciate e sospendere le attività nel caso in cui venga avviato un programma per il monitoraggio delle attività di sistema o dei processi attivi;
- Verificare che una copia del software di mining sia sempre presente sull’hard drive e ripristinarla se viene eliminata.
Non appena create, le monete virtuali vengono trasferite nei wallet dei criminali, lasciando le vittime alle prese con computer stranamente poco performanti e bollette dell’elettricità lievemente più alte del solito. Secondo quanto osservato da Kaspersky Lab, i criminali si concentrano su due cryptovalute: Zcash e Monero. Queste valute vengono probabilmente scelte perché offrono un modo affidabile di rendere anonimi i proprietari dei portafogli e le transazioni.
I primi segni del ritorno dei miner nocivi sono stati scoperti da Kaspersky Lab a dicembre 2016, quando un ricercatore dell’azienda ha riferito di almeno 1.000 computer infettati da un malware che effettuava il mining della cryptovaluta Zcash, lanciata alla fine di ottobre 2016. A quell’epoca – grazie alla rapida crescita del costo di Zcash – la botnet permetteva ai suoi proprietari di guadagnare 6.000 dollari a settimana. In seguito a questo caso, gli esperti di Kaspersky Lab avevano previsto la comparsa di nuove botnet per il mining di bitcoin e i risultati della recente ricerca confermano la correttezza della previsione.
“Il problema principale con i miner nocivi è che è estremamente difficile rilevare in modo affidabile queste attività, poiché il malware usa software di mining assolutamente leciti, che in una situazione normale potrebbero essere stati installati da utenti legittimi. Analizzando queste due nuove botnet abbiamo scoperto un’altra questione preoccupante: gli stessi miner nocivi stanno diventando preziosi nel mercato underground. Abbiamo scoperto che i criminali vendono i cosiddetti ‘miner builder’: software che consentono a chi è disposto a pagare per la versione completa di creare la propria mining botnet. Questo significa che le botnet che abbiamo recentemente identificato non saranno sicuramente le ultime”, ha commentato Evgeny Lopatin, Malware Analyst di Kaspersky Lab.
In generale, il numero di utenti che hanno incontrato i miner di cryptovaluta è aumentato drasticamente negli ultimi anni. Ad esempio, nel 2013 le soluzioni Kaspersky Lab hanno protetto circa 205.000 utenti in tutto il mondo presi di mira da questo tipo di minaccia. Nel 2014 questa cifra è salita a 701.000, mentre nei primi otto mesi del 2017 il numero di utenti attaccati ha raggiunto 1,65 milioni.
Per evitare che il proprio computer si trasformi in uno zombie che ruba elettricità, dalle prestazioni ridotte a causa delle attività cyber criminali, i ricercatori di Kaspersky Lab consigliano agli utenti di adottare le seguenti misure:
- Non installare sul proprio PC software sospetti provenienti da fonti non attendibili;
- Assicurarsi che la funzionalità di adware detection della propria soluzione di sicurezza sia attiva – potrebbe essere disattivata di default;
- Usare una soluzione di Internet Security affidabile per proteggere l’ambiente digitale da tutte le possibili minacce, compresi i miner nocivi;
- In caso sia presente un server, assicurarsi che sia protetto da una soluzione di sicurezza, in quanto si tratta di obiettivi redditizi per i criminali grazie alle loro elevate prestazioni di calcolo (rispetto a un computer medio).
I prodotti Kaspersky Lab rilevano e bloccano con successo il malware che diffonde i software nocivi di mining con i seguenti nomi:
- Win32.BitCoinMiner.hxao
- PDM:Trojan.Win32.Generic
