Se il 2017 è stato l'anno dei ransomware e dei furti di dati, il 2018 vede ampliarsi il panorama delle cyber minacce, con la comparsa e la sempre maggiore popolarità dei malware legati al mining di cripto valute: un nuovo strumento di cyber criminalità molto redditizio per gli attaccanti.
Svariate aziende di ricerca hanno riportato l'individuazione di virus per il mining che vengono distribuiti usando una vecchia conoscenza: EternalBlue (leggi qui), l'exploit kit sottratto all'NSA (l'Agenzia di sicurezza nazionale statunitense) dal gruppo hacker Shadow Brokers e che è stato alla base del devastante attacco ransomware WannaCry (ne abbiamo parlato qui).
E' stata individuata una botnet chiamata Smominru che usa l'exploit per il protocollo SMB EternaBlue (CVE-2017-0144) per infettare i computer Windows e usarne il potenziale di calcolo per
estrarre e accumulare la cripto valuta Monero, diretta concorrente del Bitcoin. Monero sta sempre più sulla cresta dell'onda a causa del fatto che l'estrazione di Bitcoin richiede ormai quantità veramente enormi di capacità di calcolo, rendendo la sua estrazione altamente proibitiva.
La botnet Smominru
Attiva dal Maggio 2017, Smominru ha già colpito e infettato oltre 526.000 macchine che eseguono Windows, la maggior parte dei quali sono probabilmente server che eseguono versioni di Windows non patchate. Dal punto di vista geografico, la maggior parte dei bot si trovano in Russia, India e Taiwan, affermano i ricercatori.
Gli operatori di questa botnet hanno già "minato" circa 8,900 Monero, per un valore circa di 3,6 milioni di dollari (un Monero ad ieri valeva circa 8,500 dollari), sfruttando il potere di calcolo delle macchine delle quali hanno ottenuto il controllo. Tramite la struttura della botnet quindi riescono a sfruttare il potenziale di calcolo di tutte le macchine divenute bot della rete stessa.
Gli attaccanti stanno usando almeno 25 diverse macchine per setacciare Internet in cerca di computer che eseguono Windows con vulnerabilità, ma usano anche un altro exploit del protocollo RDP (anch'esso sottratto all'NSA), ovvero EsteemAudit (CVE-2017-0176).
Un altro esempio...
CrowsStrike, altra azienda di ricerca informatica, ha recentemente pubblicato un report riguardante la diffusione di un malware fileless per cripto valute, chiamato WannaMine: anche questo malware fileless usa l'exploit EternalBlue per infettare i computer. Anche in questo caso la moneta target è Monero. Il vantaggio (per i cyber criminali) di usare un malware fileless è legato al fatto che per un antivirus è molto più difficile individuare un malware che non scarica i propri componenti e file sulla macchina bersaglio.
Il CryptoJacking
A ciò va aggiunta un altro tipo di attacco, del quale ha parlato qui Quick Heal, ovvero l'attacco di Cryptojacking, nel quale un miner in-browser basato su JavaScript utilizza la potenza della CPU dei visitatori di determinati siti web per estrarre cripto valuta e monetizzare quindi ancora di più le visite alla propria pagina/sito web.
Riguardo agli attacchi con EternalBlue, ricordiamo che la vulnerabilità è già stata risolta da Microsoft lo scorso anno: consigliamo quindi di procedere all'installazione della patch relativa.
Nessun commento:
Posta un commento