Durante l’ultimo mese, i media per la sicurezza delle informazioni hanno prestato molta attenzione al malware di criptovaluta. Stiamo iniziando a vedere attacchi che tentano di caricare malware di data mining e di pulizia dei siti che sono già infetti.
Questo articolo spiega cos’è il mining di criptovaluta, come verificare se hai questo problema e cosa fare al riguardo.
Attacchi minerari di criptovaluta su WordPress
Per quelli di voi che non lo sanno possiamo dire che le criptovalute sono valute digitali che possono fungere da alternativa alle valute tradizionali. Gli esempi includono Bitcoin, Litecoin, Ethereum e Monero, tra molti altri.
Il mining di criptovaluta è una serie di elaborate operazioni fatte da computer che contribuisce alle operazioni della rete di criptovaluta mentre soprattutto genera nuova valuta a vantaggio di chi lo gestisce.
Ci vuole una grande quantità di risorse informatiche per generare entrate significative. Le persone interessate al mining di criptovalute devono generalmente investire in costose attrezzature e risolvere il consumo energetico e il calore generato dall’hardware.
Di recente sono emerse piattaforme online che consentono ai proprietari di siti Web di sfruttare la potenza di calcolo dei visitatori del loro sito Web per creare la criptovaluta con operazioni di mining non dichiarate e fatte svolgere a danno dei visitatori.
I proprietari di siti web registrano semplicemente un account magari per scaricare un software gratuitamente e così facendo aggiungono JavaScript al loro sito. Il rovescio della medaglia è che le loro risorse informatiche vengono poi sfruttate. È molto discutibile pensare che i visitatori del sito web pirata vedranno questa pratica in modo favorevole, ma sarà interessante osservarne l’evoluzione.
Abbiamo visto il primo attacco su un sito WordPress che tentava di incorporare il codice di mining di criptovaluta il 17 settembre. Il volume di attacchi è stato finora molto basso e poco sofisticato.
Gli attacchi finora analizzati stanno tutti tentando di sfruttare le vulnerabilità di sicurezza note che esistono da molto tempo, quindi un sito ben aggiornato dovrebbe essre meno vulnerabile.
Abbiamo anche visto alcuni tentativi di inserire codice di mining utilizzando account di amministratore di WordPress compromessi, nonché alcuni attacchi che utilizzano account FTP compromessi, quindi attenti al phishing.
Come gli hacker traggono profitto dal malware di minig di criptovaluta
Gli hacker stanno incorporando il codice Javascript maligno sui siti Web che hanno compromesso. Per esempio il malware Coinhive fornisce un modo per estrarre una criptovaluta nota come Monero. Monero si differenzia da altre criptovalute come Bitcoin, in quanto non consente ai miners che utilizzano GPU o altri hardware specializzati un vantaggio computazionale significativo.
Ciò significa che è adatto per l’uso nei browser Web, eseguendo come JavaScript su CPU consumer, quindi è un attacco che mira all’utilizzatore non professionale del web, attenzione.
I proprietari dei siti che inseriscono il codice Coinhive sui propri siti Web guadagnano Monero perchè il malware Coinhive utilizza le risorse computazionali dei visitatori del sito per estrarre Monero.
Un utente malintenzionato può inserire il codice Coinhive su migliaia di siti Web e guadagnare Monero dall’attività di mining che avviene nei browser dei visitatori deli siti che ha infettato.
Ricerche recenti hanno concluso che un utente malintenzionato in grado di raggiungere una media di 1.000 utenti simultanei in tutti i siti infetti genererebbe 2.398 dollari di entrate mensili.
Pensiamo che questi attacchi cresceranno in numero molto rapidamente, data la loro redditività. Gli attacchi che tentano di incorporare malware crittografici sono attualmente poco sofisticati, ma ci aspettiamo di vedere un aumento della sofisticazione degli attacchi quando si scoprirà che questa è un’impresa redditizia.
Prevediamo inoltre che questi attacchi siano indirizzati a siti Web con traffico più elevato, dal momento che il potenziale di profitto aumenta notevolmente con un numero maggiore di visitatori di siti concorrenti.
Come verificare se il tuo sito è infetto da malware di minigdi criptovaluta
Fai sempre attenzione se molti dei tuoi visitatori iniziano a riportare scarso rendimento dal loro browser o computer mentre visitano il tuo sito.
Oppure registri rallentamenti o strani malfunzionamenti. Alcuni hacker hanno modificato le impostazioni del miners in modo che utilizzi solo una parte della potenza della CPU disponibile, o in modo che sia possibile eseguire solo un’istanza dello script minatore alla volta (anche se è aperta in più schede).
Però molti malware di mining sono ancora impostati per utilizzare il 100% delle risorse disponibili, quindi un forte calo delle prestazioni può essere un allarme.
Cambiamenti nei modelli di business degli attaccanti
Nuovi modelli di business stanno emergendo costantemente per gli aggressori. Storicamente, gli aggressori hanno utilizzato siti Web compromessi per generare contenuti di spam o e-mail spam.
Nell’ultimo decennio, il virus ransomware ha guadagnato popolarità tra gli aggressori, in quanto consente loro di estorcere denaro alle vittime.
Più recentemente, l’utilizzo di risorse computazionali rubate per la criptovaluta è emerso come un modo per hackers di trarre profitto da sistemi compromessi.
Questo modello di business emergente si è fatto strada nell’ecosistema WordPress come un modo per gli aggressori di trarre profitto da siti web WordPress compromessi e dalle risorse dei pc di proprietà dei visitatori del sito web.
È imperativo che i proprietari dei siti WordPress attivino un firewall ed effettuino una scansione malware sui loro siti per rilevare rapidamente questa nuova minaccia per garantire che le risorse dei loro visitatori non vengano dirottate sulla produzione di criptovaluta per “conto terzi” a favore di criminali.
Cosa fare se il tuo sito è infetto da malware di minig di criptovaluta
Ovviamente hai fatto copie di backup che ti consigliamo sempre di tenere aggiornate. Dopodichè esistono plugin come Anti Malware Security and Brute Force Firewall che possono anlizzare il tuo sito.
Inoltre Google stessa provvedreà ad avvisarti dell’infezione suggerendoti posssibili rimedi, via email o attraverso Search Console, poi starà a te pulire i file infetti oppure utilizzare una copia di backup recente.
Attento comunque è in arrivo una penalizzazione per i siti infettati che avrà un impatto su circa il 5% delle query (a seconda della lingua).
Google ci sta dicendo che NON si limiterà ad inserire un “link di avvertimento” all’interno degli snippet delle SERP, ma potrebbe decidere di eliminare dai risultati di ricerca le pagine colpite da hacked spam.