Le “mining botnet” sono tornate: migliaia di PC infettati e centinaia di migliaia di dollari guadagnati dai cyber criminali

Posted By: Nicola Furini 13 Settembre 2017

(Roma, 12 Settembre 2017) – L’Anti-Malware Research team di Kaspersky Lab ha scoperto due botnet composte da computer infettati da malware che installano segretamente miner di cryptovaluta, software legittimi usati per creare monete virtuali basate sulla tecnologia blockchain. Secondo le analisi dei ricercatori di Kaspersky Lab, un network composto da 4.000 macchine fruttava ai suoi proprietari oltre 30.000 dollari al mese, mentre – in un altro caso – una botnet composta da 5.000 PC permetteva ai cyber criminali di guadagnare oltre 200.000 dollari.

L’architettura dei Bitcoin e delle altre cryptovalute consente sia di acquistare moneta virtuale che di crearne usando la potenza di calcolo di macchine sulle quali e’ installato un software di “mining” dedicato. Al contempo, secondo il concetto di cryptovaluta, l’aumento del numero dei singoli bitcoin creati comporta l’aumento del tempo e della potenza di calcolo necessari per crearne di nuovi. Alcuni anni fa, i malware che installavano segretamente i miner di Bitcoin (che usano i computer delle vittime per creare valuta per i cyber criminali) erano comuni nel panorama delle minacce. Tuttavia, con l’aumento del mining di Bitcoin, e’ diventata un’attivita’ sempre piu’ difficile e, ad un certo punto, questo processo e’ diventato inutile: il possibile guadagno economico dei criminali non avrebbe piu’ coperto l’investimento necessario per creare e distribuire il malware e supportare l’infrastruttura back-end richiesta.

Tuttavia, il successo della valuta Bitcoin – la prima e piu’ celebre – che, nel corso degli ultimi anni, ha raggiunto il valore di centinaia di migliaia di dollari per singolo bitcoin, ha comportato una vera e propria “febbre da cryptovaluta” in tutto il mondo. Centinaia di gruppiu’ e startup entusiasti hanno iniziato a rilasciare la propria valuta virtuale alternativa, molte delle quali hanno ottenuto un valore di mercato significativo in un arco di tempo relativamente breve.

Questi cambiamenti nei mercati delle cryptovalute hanno inevitabilmente attratto l’attenzione dei cyber criminali, che stanno tornando ai vecchi schemi fraudolenti, che prevedono l’installazione di software per il mining di cryptovaluta su migliaia di PC all’insaputa degli utenti.

Secondo i risultati della ricerca condotta dagli esperti di Kaspersky Lab, i criminali che si celano dietro le botnet recentemente scoperte diffondono il software di mining grazie a programmi adware, che le vittime installano volontariamente. Una volta installato sul computer della vittima, il programma adware scarica un componente nocivo: l’installer del miner. Questo componente installa il software di mining e svolge diverse attivita’ affinche’ il miner possa operare il piu’ a lungo possibile, come:

• Tentare di disattivare il software di sicurezza;
• Tracciare le applicazioni lanciate e sospendere le attivita’ nel caso in cui venga avviato un programma per il monitoraggio delle attivita’ di sistema o dei processi attivi;
• Verificare che una copia del software di mining sia sempre presente sull’hard drive e ripristinarla se viene eliminata.

Non appena create, le monete virtuali vengono trasferite nei wallet dei criminali, lasciando le vittime alle prese con computer stranamente poco performanti e bollette dell’elettricita’ lievemente piu’ alte del solito. Secondo quanto osservato da Kaspersky Lab, i criminali si concentrano su due cryptovalute: Zcash e Monero. Queste valute vengono probabilmente scelte perche’ offrono un modo affidabile di rendere anonimi i proprietari dei portafogli e le transazioni.

I primi segni del ritorno dei miner nocivi sono stati scoperti da Kaspersky Lab a dicembre 2016, quando un ricercatore dell’azienda ha riferito di almeno 1.000 computer infettati da un malware che effettuava il mining della cryptovaluta Zcash, lanciata alla fine di ottobre 2016. A quell’epoca – grazie alla rapida crescita del costo di Zcash – la botnet permetteva ai suoi proprietari di guadagnare 6.000 dollari a settimana. In seguito a questo caso, gli esperti di Kaspersky Lab avevano previsto la comparsa di nuove botnet per il mining di bitcoin e i risultati della recente ricerca confermano la correttezza della previsione.

“Il problema principale con i miner nocivi e’ che e’ estremamente difficile rilevare in modo affidabile queste attivita’, poiche’ il malware usa software di mining assolutamente leciti, che in una situazione normale potrebbero essere stati installati da utenti legittimi. Analizzando queste due nuove botnet abbiamo scoperto un’altra questione preoccupante: gli stessi miner nocivi stanno diventando preziosi nel mercato underground. Abbiamo scoperto che i criminali vendono i cosiddetti ‘miner builder’: software che consentono a chi e’ disposto a pagare per la versione completa di creare la propria mining botnet. Questo significa che le botnet che abbiamo recentemente identificato non saranno sicuramente le ultime”, ha commentato Evgeny Lopatin, Malware Analyst di Kaspersky Lab.

In generale, il numero di utenti che hanno incontrato i miner di cryptovaluta e’ aumentato drasticamente negli ultimi anni. Ad esempio, nel 2013 le soluzioni Kaspersky Lab hanno protetto circa 205.000 utenti in tutto il mondo presi di mira da questo tipo di minaccia. Nel 2014 questa cifra e’ salita a 701.000, mentre nei primi otto mesi del 2017 il numero di utenti attaccati ha raggiunto 1,65 milioni.

Numero di utenti protetti da Kaspersky Lab dai miner nocivi di cryptovalute dal 2011 al 2017

Per evitare che il proprio computer si trasformi in uno zombie che ruba elettricita’, dalle prestazioni ridotte a causa delle attivita’ cyber criminali, i ricercatori di Kaspersky Lab consigliano agli utenti di adottare le seguenti misure:

• Non installare sul proprio PC software sospetti provenienti da fonti non attendibili;
• Assicurarsi che la funzionalita’ di adware detection della propria soluzione di sicurezza sia attiva – potrebbe essere disattivata di default;
• Usare una soluzione di Internet Security affidabile per proteggere l’ambiente digitale da tutte le possibili minacce, compresi i miner nocivi;
• In caso sia presente un server, assicurarsi che sia protetto da una soluzione di sicurezza, in quanto si tratta di obiettivi redditizi per i criminali grazie alle loro elevate prestazioni di calcolo (rispetto a un computer medio).

I prodotti Kaspersky Lab rilevano e bloccano con successo il malware che diffonde i software nocivi di mining con i seguenti nomi:

• RiskTool.Win32.BitCoinMiner.hxao
• PDM:Trojan.Win32.Generic

Per maggiori informazioni sulle mining botnet recentemente scoperte, e’ possibile visitare Securelist.com

Informazioni su Kaspersky Lab

Kaspersky Lab e’ un’azienda di sicurezza informatica a livello globale che nel 2017 celebra i suoi primi 20 anni di attivita’. La profonda intelligence sulle minacce e l’expertise di Kaspersky Lab si trasformano costantemente in soluzioni di sicurezza e servizi per la protezione di aziende, infrastrutture critiche, enti governativi e utenti privati di tutto il mondo. Il portfolio completo di sicurezza dell’azienda include la miglior protezione degli endpoint e numerosi servizi e soluzioni di sicurezza specializzati per combattere le sofisticate minacce digitali in continua evoluzione. Piu’ di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky Lab e aiutiamo 270.000 clienti aziendali a proteggere cio’ che e’ per loro piu’ importante. Per ulteriori informazioni: www.kaspersky.com/it

Sala Stampa di Kaspersky Lab: http://newsroom.kaspersky.eu/it/

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://plus.google.com/+KasperskyItKL

https://www.linkedin.com/kasperskylabitalia

(Immediapress – Adnkronos
Immediapress e’ un servizio di diffusione di comunicati stampa in testo originale redatto direttamente dall’ente che lo emette. Padovanews non e’ responsabile per i contenuti dei comunicati trasmessi.)

SHARE TWEET PIN SHARE