Tecnologia
Prodotti
Risorse
Azienda
Italiano
Tecnologia
Prodotti
Blog
Risorse
Azienda

Malware di crypto-mining: scoperta di una farm per l’estrazione di criptovaluta presso un magazzino

Justin Fier, Director of Cyber Intelligence & Analytics | giovedì 8 aprile 2021

Ogni settimana le criptovalute sono sotto i riflettori dei media e stanno rapidamente diventando un tipo di investimento e un metodo di pagamento convenzionali. In tutto il mondo, i pirati informatici stanno sfruttando i data center chiamati “farm” per l’estrazione di criptovalute per approfittare di questa tendenza, dalla Cina all’Islanda fino all’Iran, e perfino da una scatola di cartone all’interno di un magazzino vuoto.

Come funziona l’estrazione di criptovalute?

Le criptvalute sono valute digitali decentralizzate. Diversamente dalle valute tradizionali, che possono essere emesse in qualsiasi momento dalle banche centrali, le criptovalute non sono controllate da alcuna autorità centralizzata. Al contrario, si basano su una blockchain, che funziona come un registro pubblico digitale relativo alle transazioni, organizzato e gestito da una rete Peer-to-Peer.

I minatori creano e garantiscono criptovaluta risolvendo complessi algoritmi crittografici. Al posto di martello e scalpello, i crypto-miner utilizzano computer specializzati con GPU o ASIC per validare le transazioni il più velocemente possibile, guadagnando criptovalute durante il processo.

Farm di crypto-mining nel 2021: un raccolto prematuro

L’estrazione di criptovalute richiede un’enorme quantità di energia. Secondo un’analisi della University of Cambridge si stima che la generazione di Bitcoin comporti un consumo di energia pari, se non superiore, a quello di interi paesi. Ad esempio, il Bitcoin utilizza circa 137,9 terawatt/ora all’anno, rispetto ai soli 128,8 consumati dall’Ucraina nello stesso periodo. Il Bitcoin è solo una delle numerose criptovalute, insieme a Monero e Dogecoin, quindi l’energia totale consumata da tutte le criptovalute è notevolmente superiore.

Dato che i computer ad alte prestazioni utilizzati per il mining richiedono una potenza di elaborazione così elevata, il crypto-mining è un processo redditizio in paesi in cui l’elettricità è relativamente conveniente. Tuttavia, questo bisogno di energia può comportare gravi conseguenze, fino al blackout di intere città. In Iran, la rete elettrica ormai obsoleta ha enormi difficoltà a fornire l’energia sufficiente alle farm di estrazione di criptovalute, con conseguenti blackout in intere città.

Anche se alcune crypto-farm sono legali, i fornitori di energia iraniani devono fare i conti anche con i crypto-miner illegali. Il crypto-mining illegale è molto diffuso in Iran, in parte perché la moneta iraniana è instabile e soggetta all’inflazione, mentre la criptovaluta è (per il momento) immune sia alla politica monetaria inflazionistica che alle sanzioni statunitensi. Se usate per scopi illegali, le farm che si occupano di criptovalute possono causare interruzioni sulla rete elettrica e gravi pericoli finanziari.

Malware di crypto-mining nelle reti aziendali

Se non bloccati, i malware di crypto-mining hanno la capacità di ostacolare e anche arrestare in modo anomalo l’ambiente digitale di un’organizzazione. La Cyber AI ha scoperto e bloccato centinaia di attacchi in cui i dispositivi erano infettati da malware di crypto-mining, tra cui:

  • un server utilizzato per l’apertura e la chiusura di un varco di accesso biometrico;
  • uno spettrometro, un dispositivo IoT medico che utilizza le lunghezze d’onda della luce per l’analisi di materiali;
  • 12 server nascosti nel seminterrato di una banca italiana.

In un caso che risale a quest’anno, Darktrace ha rilevato un’attività di crypto-mining anomala all’interno di un sistema aziendale. Attraverso l’indagine, l’organizzazione ha localizzato l’attività anomala presso uno dei loro magazzini, in cui hanno trovato comuni scatole di cartone posizionate su un ripiano. Aprendo queste scatole hanno trovato all’interno una farm di cryptovalute nascosta, che sfruttava la rete elettrica dell’azienda.

Figura 1: le comuni scatole di cartone

Figura 2: la farm di criptovalute

Figura 3: il pirata informatico aveva creato un impianto di estrazione di criptovalute nascosto con GPU, che sfruttava la rete elettrica dell’azienda

Se fosse rimasta nascosta, la farm di crypto-mining avrebbe causato all’azienda perdite finanziarie e l’interruzione delle attività aziendali. L’impianto di estrazione generava inoltre una grande quantità di calore, che avrebbe potuto facilmente causare lo scoppio di un incendio all’interno del magazzino.

Questo caso ha messo in luce i metodi clandestini con cui opportunisti malintenzionati possono sfruttare l’infrastruttura aziendale utilizzando malware di crypto-mining, nonché la necessità di uno strumento di sicurezza in grado di proteggere l’intero patrimonio digitale e rilevare qualsiasi evento nuovo o insolito. Il machine learning di Darktrace ha evidenziato le connessioni attivate presso le scatole presenti nel magazzino come estremamente anomale, portando a questa scoperta inaspettata.

In un’organizzazione con Antigena attivo, qualsiasi comunicazione anomala verso endpoint esterni relativa a dispositivi di crypto-mining sarebbe bloccata, impedendo di fatto l’attività di estrazione. Antigena è in grado inoltre di rispondere applicando il normale “pattern of life” all’interno dell’ambiente digitale, evitando comportamenti pericolosi ma consentendo nel contempo la continuazione della normale operatività aziendale. Poiché i pirati informatici continuano a diffondersi e a concepire nuovi modi per implementare malware di crypto-mining, la visibilità completa e l’Autonomous Response messi a disposizione da Darktrace in ogni parte dell’ambiente digitale sono più importanti che mai.

Grazie a Chloe Phillips, analista Darktrace, per le informazioni fornite.

Scopri maggiori informazioni su come Darktrace blocca le campagne di crypto-mining furtive

Rilevamento dei modelli Darktrace:

  • Compliance / Crypto Currency Mining Activity
  • Compromise / High Priority Crypto Currency Mining
  • Compromise / Monero Mining
  • Anomalous Connection / Rare External SSL Self-Signed
  • Compromise / HTTP Beaconing to Rare Destination
  • Compromise / POS and Beacon to Rare External
  • Compromise / Slow Beaconing Activity to External Rare
  • Compromise / SSL Beaconing to Rare Destination
  • Compromise / Sustained TCP Beaconing Activity to Rare Endpoint
  • Anomalous Connection / Multiple Failed Connections to Rare Destination
  • Compromise / Sustained SSL or HTTP Increase
  • Anomalous Connection / Connection to New TCP Port
  • Anomalous Connection / Connection to New UDP Port
  • Compromise / Multiple UDP Connections to Rare External Hosts
  • Compromise / SSL or HTTP Beacon
  • Compromise / Quick and Regular HTTP Beaconing
  • Device / Suspicious domains
  • Compromise / Suspicious Beacons to Rare PHP Endpoint
  • Anomalous File / Script from Rare
  • Anomalous Connection / New failed External Windows Connection
  • Device / New Failed External Connection
  • Anomalous Connection / POST to PHP on New External Host

Justin Fier

Justin is one of the US’s leading cyber intelligence experts, and holds the position of Director for Cyber Intelligence & Analytics at Darktrace. His insights on cyber security and artificial intelligence have been widely reported in leading media outlets, including the Wall Street Journal, CNN, The Washington Post, and VICELAND. With over 10 years’ experience in cyber defense, Justin has supported various elements in the US intelligence community, holding mission-critical security roles with Lockheed Martin, Northrop Grumman Mission Systems and Abraxas. Justin is also a highly-skilled technical specialist, and works with Darktrace’s strategic global customers on threat analysis, defensive cyber operations, protecting IoT, and machine learning.