Secondo i ricercatori di Kaspersky Lab, i criminali informatici hanno iniziato a utilizzare metodi e tecniche sofisticate d’infezione, precedentemente usate in attacchi mirati, per installare software di mining sui PC attaccati nelle aziende.
Il gruppo di maggior successo scoperto da Kaspersky Lab ha guadagnato in soli sei mesi, durante il 2017, almeno 7 milioni di dollari sfruttando le vittime.
Anche se il mercato delle cryptovalute sta vivendo alti e bassi, i fenomeni dello scorso anno, con impennate nel valore del Bitcoin, hanno cambiato significativamente l’economia globale, ma anche il mondo della sicurezza informatica. Con l’obiettivo di guadagnare cryptovaluta, i criminali hanno iniziato a utilizzare nei loro attacchi software di mining, che, come i ransomware, hanno un semplice modello di monetizzazione. A differenza del ransomware, non danneggiano i dispositivi degli utenti e sono in grado di rimanere a lungo nascosti sfruttando silenziosamente la potenza di calcolo dei PC. Nel settembre 2017, Kaspersky Lab ha registrato un aumento di miner che hanno iniziato a diffondersi attivamente in tutto il mondo e si prevede un’ulteriore crescita.
I ricercatori di Kaspersky Lab hanno recentemente identificato un gruppo di cyber criminali che utilizzava tecniche APT per infettare gli utenti con miner. Il metodo utilizzato è quello del process-hollowing, solitamente utilizzato per i malware e già visto in alcuni attacchi mirati da parte di gruppi APT, che fin ad ora non era ancora stato osservato in attacchi di mining.
L’attacco funziona così: la vittima viene indotta a scaricare e installare un software pubblicitario in cui è nascosto l’installer del miner. Questo programma di installazione utilizza una utility legittima di Windows per scaricare il miner da un server remoto. Dopo l’esecuzione, viene avviato un processo di sistema legittimo e il codice (legittimo) di questo processo viene modificato in codice dannoso. Di conseguenza, il miner opera sotto le sembianze di un task legittimo e per un utente sarà impossibile riconoscere se ha subito un’infezione da mining e anche per le soluzioni di sicurezza è difficile rilevare questa minaccia. Inoltre, i miner “marcano” questo nuovo processo in modo da renderne difficile la cancellazione. Se l’utente tenta di interrompere il processo, il sistema si riavvierà. Così, i criminali proteggono la loro presenza nel sistema per un tempo più lungo e più produttivo.
In base alle osservazioni di Kaspersky Lab, gli autori di questi attacchi, nella seconda metà del 2017, hanno estratto la cryptovaluta Electroneum e guadagnato quasi 7 milioni di dollari, il che è paragonabile alle somme che erano soliti guadagnare i creatori di ransomware.
“Il ransomware sta passando in secondo piano, lasciando il posto al mining. La conferma viene dalle nostre statistiche che, durante l’anno, mostrano una crescita costante dei miner: i gruppi di cyber criminali stanno sviluppando attivamente i loro metodi e hanno già iniziato a utilizzare tecniche più sofisticate per diffondere software di data mining. La stessa evoluzione aveva riguardato gli hacker dei ransomware nella fase di crescita del fenomeno”, ha commentato Anton Ivanov, Lead Malware Analyst di Kaspersky Lab.
Secondo i dati di Kaspersky Lab, complessivamente, nel 2017, 2,7 milioni di utenti sono stati attaccati da miner dannosi. Questo equivale ad un aumento del 50% in più rispetto al 2016 (1,87 milioni). Le vittime sono state colpite attraverso adware, giochi craccati e software pirata usati dai criminali informatici per infettare segretamente i loro PC. Un altro approccio utilizzato è stato il web mining, attraverso un codice speciale inserito in una pagina Web infetta: il più diffuso è stato CoinHive, scoperto su molti siti web noti.