In questi mesi il cosiddetto cryptojacking è diventato la forma di attacco o malware più remunerativa per i criminali informatici, soppiantando il ransomware. Un singolo attacco di cryptojacking rende mediamente meno del ransomware o dell'esfiltrazione di dati da rivendere online - o peggio per spionaggio industriale - ma è semplice da mettere in atto. E, paradossalmente, la maggior parte delle aziende pur conoscendo il cryptojacking non lo considera una minaccia importante.

In estrema sintesi, il cryptojacking consiste nel forzare i computer o i server di una azienda o di un singolo utente a generare criptovaluta per conto di chi attacca, il quale la riceverà senza aver impiegato alcuna risorsa propria per eseguirne il "mining". Per capire il pericolo, è meglio fare un passo indietro e considerare proprio come funzionano le criptovalute alla Bitcoin.

La generazione di criptovalute è figurativamente assimilata all'estrazione di minerali. Le unità di criptovaluta sono "estratte" con una operazione detta di cryptomining, in cui un computer esegue algoritmi di calcolo complessi. Questi calcoli servono a manutenere la blockchain su cui si basa la specifica criptovaluta e "costano" al computer parte della sua capacità elaborativa, quindi delle sue risorse. In cambio, chi usa quel computer - il miner - riceve una data quantità di criptovaluta in funzione del numero di blocchi aggiunti alla blockchain.
In concreto, il cryptojacking si attua caricando sul computer-bersaglio un malware che fa mining di una criptovaluta. Come qualsiasi malware, si può diffondere via phishing, sfruttando una vulnerabilità non patchata o con un supply chain attack. Il "bello" del cryptojacking è che si può fare anche con un semplice spezzone di codice JavaScript integrato in una pagina web. Il cryptojacking è inoltre alla portata di hacker ostili anche poco esperti: il codice e il malware necessari sono facilmente reperibili online.

Un pericolo per il cloud

È importante sottolineare che il cryptojacking sta sempre più interessando anche gli ambienti cloud: invece di violare i server aziendali per fare mining, si violano le console di gestione degli ambienti cloud e si attivano macchine virtuali e container per generare criptovaluta "conto terzi". La cronaca delle violazioni ha riguardato tanto grandi aziende (Tesla è stato un caso di rilievo) quanto gli ambienti di test dei singoli sviluppatori.

Quello che cambia tra i vari casi di violazione del cloud è la "porta" da cui passano gli attaccanti. Per prendere il controllo di una console ad esempio Kubernetes servono le credenziali di accesso, che si possono sottrarre con un attacco parallelo. In alcuni casi le credenziali sono state acquistate nel Dark Web, quindi erano state sottratte da altri in precedenza. Purtroppo alcune installazioni hanno semplificato molto il compito degli hacker, lasciando impostate le password di default delle console di gestione.

Cryptojacking: come difendersi

I server e i PC che ospitano un miner hanno prestazioni anomale rispetto alla media (hanno carichi sempre alti per la CPU) e generano traffico di rete diverso dal classico traffico Internet (un cryptominer scarica pacchetti brevi di dati ed esegue upload più corposi, operando a intervalli regolari). Per evidenziare la presenza di miner in rete, e quindi il cryptojacking, si possono usare strumenti di network monitoring e controllo degli endpoint per rilevare questi sintomi.
Per proteggere gli ambienti cloud dal cryptojacking, gli esperti consigliano di seguire innanzitutto le regole del buonsenso (come cambiare le password di default), poi di osservare il consumo delle risorse in cloud e di andare alla ricerca di traffico "sospetto" generato da container e macchine virtuali che fanno mining.

Altro aspetto di cui tenere conto: la correttezza delle configurazioni dei sistemi e delle risorse che si attivano. Se i cicli di sviluppo-implementazione sono troppo rapidi può accadere che si verifichino errori in tal senso, errori che introducono "falle" sfruttabili da chi attacca. Ad esempio, in un caso gli hacker ostili hanno potuto prendere il controllo di una console di amministrazione Kubernetes grazie al fatto che era stata istanziata in cloud ad accesso libero, ossia senza username e password.