Cos'è il cryptojacking?

Gennaio 14, 2025

Il cryptojacking è una minaccia informatica che ruota attorno al mining di criptovalute non autorizzato a spese di individui o organizzazioni ignari. Le attività di cryptojacking possono rimanere inosservate per periodi prolungati, dando agli aggressori un accesso continuo a hardware senza sostenere costi.

Cos'è la crittografia?

Cosa significa Cryptojacking?

Il cryptojacking si riferisce all'uso non autorizzato di risorse computazionali per estrarre valute digitali come Monero, Ethereum o altre monete incentrate sulla privacy. Gli aggressori incorporano dati dannosi script or il malware ai miglioramenti siti web, applicazioni, o file, vittime di dirottamento CPU or GPU potere di risolvere enigmi crittografici e guadagnare monete digitali. Degrado delle prestazioni, elevato consumo di energia e surriscaldamento del sistema sono risultati frequenti.

Il cryptojacking è una tattica allettante per i criminali informatici perché il mining di criptovalute convenzionale richiede spese infrastrutturali sostanziali, dall'hardware specializzato (ASIC o GPU) al consumo di energia. Sfruttando host ignari, i cryptojacker aggirano completamente questi costi, scaricando sia le attrezzature che le bollette sulla vittima.

Il cryptojacking è illegale?

Il cryptojacking è illegale nella maggior parte delle giurisdizioni perché si basa sullo sfruttamento non consensuale delle risorse informatiche. I legislatori paragonano il cryptojacking alla distribuzione di malware, all'accesso non autorizzato al sistema o alla frode informatica. I criminali informatici che partecipano al cryptojacking sono soggetti a procedimenti giudiziari ai sensi di statuti che riguardano l'accesso illegale, la modifica non autorizzata dei dati e il furto di servizi di elaborazione. Le sanzioni variano in base alle normative regionali, ma i trasgressori spesso affrontano multe significative, sequestro di beni o reclusione.

Le forze dell'ordine monitorano le campagne di cryptojacking attraverso sforzi collaborativi con i fornitori di sicurezza informatica. Le prove tecniche, come le firme digitali del malware di cryptomining, le registrazioni di dominio per i pool di mining o i dati provenienti da infrastrutture compromesse, aiutano le autorità a individuare gli individui o i gruppi che orchestrano attacchi su larga scala.

La natura globale delle criptovalute rende difficile l'applicazione e l'attribuzione delle sanzioni, ma le task force internazionali contro la criminalità informatica continuano ad affinare i loro approcci per affrontare gli episodi di cryptojacking.

Come funziona il cryptojacking?

Ecco i metodi più diffusi utilizzati dai criminali informatici per avviare il cryptojacking:

  • Infezioni da malwareGli aggressori spesso raggruppano i payload di cryptomining con Trojan dropper, eseguibili dannosi o aggiornamenti software contraffatti. Le vittime lanciano inconsapevolmente questi pacchetti, innescando il cryptomining in background. Certi ceppi persistono modificando i registri di sistema, iniettando script di avvio o disabilitando i processi di sicurezza per garantire un mining ininterrotto.
  • Script basati sul browser. Web BrowserIl cryptojacking basato su malware si basa su JavaScript frammenti incorporati in siti Web compromessi o tramite pubblicità dannose (malvertising). Il codice inizia immediatamente a estrarre dati non appena il browser dell'utente carica la pagina Web, consumando risorse della CPU finché l'utente non naviga altrove o chiude la scheda. Le varianti persistenti possono generare finestre pop-under che continuano a funzionare anche dopo la chiusura della scheda principale.
  • Download drive-by. I download drive-by comportano l'esecuzione forzata di download non pianificati quando gli utenti visitano siti Web infetti o cliccano su pop-up ingannevoli. Gli aggressori sfruttano plugin del browser obsoleti, non patchati sistemi di gestione dei contenutio impostazioni del browser non protette per avviare download di file contenenti moduli di cryptomining.
  • Exploit e vulnerabilità. Sfrutta i difetti del sistema di destinazione o della rete, come SMB debole (server configurazioni del blocco messaggi) o non patchate sistemi operativiGli aggressori sfruttano vulnerabilità note come EternalBlue o BlueKeep per eseguire codice di cryptomining in remoto e propagarlo automaticamente attraverso le reti aziendali o data centers.
  • Campagne di phishing e email. Phishing gli attacchi distribuiscono malware di cryptojacking convincendo gli individui a cliccare su link dannosi o ad aprire allegati infetti. Gli aggressori spesso impersonano marchi affidabili o parti fidate, inducendo i destinatari ad attivare inavvertitamente il payload di cryptomining.

Tipi di Cryptojacking

Esistono diversi metodi di cryptojacking, ognuno dei quali sfrutta metodi diversi di distribuzione, persistenza e consumo di risorse.

Cryptojacking basato su file

Questo metodo si basa sulla distribuzione di file malware tradizionali sul sistema di una vittima. Ecco le caratteristiche del cryptojacking basato su file:

  • File eseguibili dannosi. Gli aggressori inseriscono i componenti del cryptomining in programmi di installazione ingannevoli o aggiornamenti software trojanizzati.
  • Meccanismi di persistenza. Il malware può configurare attività pianificate, modificare voci di registro o manomettere gli script di avvio per riavviarsi automaticamente.
  • Tecniche di offuscamento. Tecniche come il confezionamento del codice o crittografia nascondere le funzioni di mining, impedendone il rapido rilevamento da parte dei motori antivirus.
  • Funzionalità di gestione delle risorse. Alcuni malware regolano l'intensità del mining in tempo reale per evitare di generare avvisi o rallentamenti evidenti delle prestazioni.

Cryptojacking basato sul browser

Il cryptojacking basato su browser sfrutta principalmente le tecnologie di scripting web per sfruttare la potenza di calcolo. Ecco in che modo questo metodo differisce dai metodi basati su file:

  • Nessuna installazione diretta. Gli aggressori non hanno bisogno di installare file sul computer della vittima. JavaScript viene eseguito immediatamente quando un utente visita una pagina infetta.
  • Esecuzione al volo. Il processo di mining si interrompe quando la scheda o la finestra si chiude, a meno che non continuino a essere eseguiti script pop-under o persistenti specializzati.
  • Requisiti di interazione dell'utente. In genere richiede alla vittima di accedere a un sito o a un annuncio compromesso.
  • Attribuzione contestata. Gli script dannosi spesso provengono da reti pubblicitarie di terze parti o nascosti iFrame, complicando l'indagine sulla vera fonte.

Cloud Cryptojacking

Cloud obiettivi di cryptojacking virtualizzata ambienti e sfrutta le moderne pratiche di distribuzione. Ecco una panoramica:

  • Accesso tramite credenziali rubate. Gli aggressori accedono a cloud piattaforme che utilizzano credenziali deboli o trapelate, creando istanze di grandi dimensioni ottimizzate per il cryptomining.
  • Configurazioni errate e account con privilegi eccessivi. Mal governato identità e gestione degli accessi consentire agli aggressori di aumentare i privilegi e generare un numero illimitato di contenitori o macchine virtuali.
  • Elevato impatto finanziario. L'organizzazione vittima paga il conto per l'uso eccessivo delle infrastrutture.
  • Persistenza avanzata. Alcuni aggressori integrano modifiche a livello di contenitore, iniezioni di script in Immagini docker, o cryptominer nascosti in effimeri carichi di lavoro che sono difficili da rilevare.

Crittojacking dell'IoT

IoT Il cryptojacking sfrutta la sicurezza tipicamente minima e le risorse limitate dei dispositivi connessi:

  • Malware leggero. Gli aggressori sviluppano script di mining ottimizzati per i chip a basso consumo presenti negli ambienti IoT.
  • Potenziale botnet. Grandi sciami di dispositivi IoT infetti generano collettivamente entrate derivanti dal mining su larga scala.
  • Controlli di sicurezza limitati. Eredità protocolli, poco frequenti firmware gli aggiornamenti e le credenziali predefinite espongono i dispositivi IoT.
  • Impiego a lungo termine. Spesso i cryptominer IoT restano in funzione fino a quando il dispositivo non si guasta o non viene eseguito un aggiornamento importante del firmware, poiché i proprietari raramente monitorano l'utilizzo delle risorse.

Esempi di attacchi di cryptojacking

Di seguito è riportato un elenco di casi di cryptojacking reali che illustrano come gli aggressori si infiltrano nei sistemi, manipolano le configurazioni e sfruttano le risorse.

Il pubblico di Tesla Cloud Cryptojacking

Nel 2018, i ricercatori di sicurezza hanno scoperto che degli aggressori avevano compromesso l'ambiente Amazon Web Services (AWS) di Tesla. Gli aggressori si sono infiltrati in una console amministrativa non protetta e hanno installato un software di cryptomining su una console non configurata correttamente. kubernetes istanze. Le misure stealth includevano il nascondere l'indirizzo del pool di mining dietro Cloudservizi di flare, rendendolo più difficile da rilevare. Alla fine, gli ingegneri di Tesla notarono un utilizzo anomalo delle risorse, il che portò a un'indagine interna che rivelò l'incidente di cryptojacking.

Miner basato sul browser The Pirate Bay

The Pirate Bay, un sito di indicizzazione torrent, è stato trovato mentre eseguiva uno script Coinhive che sfruttava la potenza della CPU dell'utente per il cryptomining. Inizialmente, gli operatori del sito hanno implementato lo script senza avvisare i visitatori, provocando una reazione negativa da parte della comunità di utenti per l'uso non annunciato delle risorse. L'incidente ha attirato l'attenzione dei media, innescando dibattiti sul fatto che l'esecuzione di script di cryptomining potesse fungere da alternativa ai tradizionali modelli di pubblicità online.

Annunci di YouTube che forniscono codice di cryptojacking

All'inizio del 2018, annunci pubblicitari dannosi visualizzati su YouTube contenevano miner JavaScript nascosti. Gli aggressori hanno acquistato spazi pubblicitari e offuscato payload di cryptomining all'interno di annunci pubblicitari apparentemente innocui. Gli spettatori che hanno incontrato questi annunci hanno riscontrato un picco nell'utilizzo della CPU, indicando che il codice di cryptomining è stato eseguito all'interno dei loro browser. I team di sicurezza di Google hanno infine bloccato gli annunci offensivi e rimosso gli account degli inserzionisti associati.

Cryptojacking basato sul browser nel Wi-Fi di Starbucks

Nel 2017, i clienti di una sede Starbucks si sono lamentati di improvvisi picchi di CPU mentre erano connessi al Wi-Fi gratuito della caffetteria. Le indagini hanno dimostrato che uno script dannoso era stato inserito nel portale di autenticazione della rete, facendo sì che i dispositivi dei visitatori estraessero criptovalute in background. Il provider di servizi Internet che gestiva l'hotspot Starbucks alla fine ha rimosso lo script dopo che gli esperti di sicurezza hanno reso pubblico il problema.

Come si rileva il cryptojacking?

Ecco i metodi per individuare gli indicatori di cryptojacking:

  • Analisi delle prestazioni del sistema. Periodi prolungati di elevato utilizzo di CPU o GPU durante le ore non di punta sono potenziali indizi che si sta verificando del cryptomining. Gli strumenti di monitoraggio automatizzati, tra cui dashboard delle prestazioni in tempo reale, possono isolare anomalie che si discostano dalle norme stabilite.
  • Monitoraggio del traffico di rete. Il cryptojacking si basa su connessioni in uscita verso pool di mining o gestiti dall'aggressore serversÈ possibile utilizzare i registri del flusso di rete, sistemi di prevenzione delle intrusionie filtri di intelligence sulle minacce per rilevare connessioni sospette. Picchi insoliti in DNS query a sconosciuto domini o i pool di mining sono forti indicatori di attività di cryptojacking.
  • Scansione dello strumento di sicurezza. Le soluzioni di protezione degli endpoint spesso includono firme dedicate o euristiche su misura per il malware di cryptomining. Scansioni antivirus regolari, basate su host sistemi di rilevamento delle intrusioni (HIDS) e le piattaforme di rilevamento e risposta degli endpoint (EDR) aiutano a identificare i processi sospetti. Sono necessari aggiornamenti frequenti di questi strumenti per catturare le varianti emergenti del cryptojacking.
  • Ispezione del browser. Quando il cryptojacking è basato sul browser, il controllo delle schede aperte o delle console degli sviluppatori fornisce la prova di script dannosi. Script non autorizzati incorporati nel sito Web codice sorgente, un utilizzo insolitamente elevato della CPU associato a una scheda specifica o estensioni del browser con autorizzazioni discutibili sono indicatori comuni di uno script di cryptojacking.
  • Correlazione tra loghi ed eventi. Soluzioni centralizzate per la gestione dei log, come Piattaforme SIEM, correlano eventi da più fonti (sistemi operativi, appliance di rete e strumenti di sicurezza). Gli analisti che applicano regole di correlazione che si concentrano su lanci di processi anomali, account utente appena creati o ripetuti tentativi di accesso non riusciti possono scoprire tentativi di cryptojacking.

Come prevenire il cryptojacking?

Per prevenire il cryptojacking è necessario un mix di aggiornamenti software, gestione della configurazione e formazione degli utenti. Di seguito è riportata un'introduzione alle misure essenziali che rafforzano le difese contro gli attacchi di cryptomining.

1. Implementare gli aggiornamenti software e firmware

Le patch di sicurezza e gli aggiornamenti del firmware contrastano le vulnerabilità sfruttate dai cryptojacker. Automatizzato gestione delle patch assicura tutti gli ambienti—on-premise, cloud, o mobile—rimanete aggiornati. I sistemi obsoleti non hanno protezione contro gli exploit divulgati pubblicamente e utilizzati per l'implementazione del cryptojacking.

2. Utilizzare estensioni del browser o blocchi di script

Blocco degli script estensioni, componenti aggiuntivi incentrati sulla privacy e funzionalità integrate del browser (come la disattivazione di JavaScript per i siti non attendibili) riducono significativamente l'esposizione. Ad-blocker configurati per bloccare il cryptomining noto URL mitigare ulteriormente i potenziali attacchi che si basano su script pubblicitari dannosi.

3. Rafforzare i filtri di posta elettronica e web

Filtraggio avanzato della posta elettronica, sandbox allegati e la scansione URL in tempo reale bloccano le email di phishing o i link a siti web compromessi. Le organizzazioni spesso adottano soluzioni di filtraggio DNS che intercettano i tentativi di risolvere domini dannosi, impedendo il caricamento di siti di cryptojacking.

4. Migliorare la protezione degli endpoint

Antivirus di nuova generazione e le soluzioni EDR offrono analisi comportamentali e scansione della memoria per modelli di cryptomining. Alcuni prodotti limitano o terminano i processi che mostrano tratti coerenti con i cryptominer, come un continuo elevato utilizzo della CPU non correlato a operazioni legittime note.

5. Sicuro Cloud Ambienti

Protezione cloud le piattaforme comportano una forte identità e gestione degli accessi (SONO), segmentazione della rete, sicurezza dei container e scansione dei carichi di lavoro. Amministratori di sistema dovrebbe integrare avvisi di utilizzo delle risorse che notifichino ai team picchi anomali nell'utilizzo della CPU. La registrazione e il monitoraggio su larga scala possono ostacolare il cryptojacking in Kubernetes o docker ecosistemi.

6. Istruire il personale

phishing, Ingegneria sociale, e gli allegati dannosi rimangono i principali meccanismi di distribuzione del malware di cryptojacking. La formazione regolare sulla sicurezza informatica evidenzia le tattiche utilizzate dagli avversari, istruendo i dipendenti a esaminare le fonti di posta elettronica ed evitare di cliccare su link sospetti o di abilitare macro in file sconosciuti.

Come rimuovere il cryptojacking?

Ecco come neutralizzare le infezioni da cryptojacking:

Identificare la fonte dell'infezione

Utilizza scansioni di sistema, registri di rete e metriche delle prestazioni per tracciare i processi di cryptomining. Le indagini potrebbero rivelare eseguibili, script o account utente sospetti creati da aggressori. L'identificazione dei dispositivi paziente zero ti aiuta a comprendere l'iniziale attacco vettoriale e contenerne l'ulteriore diffusione.

Terminare i processi dannosi

La terminazione delle sessioni di mining attive è fondamentale per ridurre al minimo i danni in corso. Isolare le macchine infette dalla rete, eliminando i processi di cryptojacking tramite comandi del sistema operativo, console software di sicurezza o terminazioni di servizio manuali. Il contenimento immediato aiuta a impedire agli aggressori di controllare gli endpoint compromessi.

Rimuovere file o script dannosi

Il cryptojacking basato su file spesso deposita eseguibili o librerie dinamiche in directory nascoste. Individuali utilizzando strumenti forensi, ricerche basate su hash o scansioni antivirus. Una volta identificati, elimina o metti in quarantena gli oggetti dannosi. Il cryptojacking basato su browser potrebbe richiedere la disinstallazione di estensioni, la cancellazione cacheo rimuovendo il codice iniettato dai modelli del sito.

Ricostruisci o ripristina i sistemi compromessi

La reimaging dei dispositivi interessati assicura una pulizia completa di tutti i componenti di cryptojacking persistenti. Critico servers in genere si basano su dati aggiornati backups per ripristinare rapidamente le operazioni. Confermare l'integrità di backup immagini o istantanee prima di ridistribuirle in ambienti di produzione.

Rafforzare i controlli di sicurezza

Gli incidenti di cryptojacking evidenziano aree di inadeguata postura di sicurezza. Affina la cadenza di patching, rafforza le configurazioni e limita i privilegi amministrativi. Per impedire ai cryptojacker di ristabilire un punto d'appoggio, rivedi regolarmente il tuo firewall regole, policy di segmentazione della rete e impostazioni di prevenzione delle intrusioni.

Monitoraggio e test continui

Routine valutazioni di vulnerabilità, test di penetrazione, e le revisioni centralizzate dei log sono essenziali per anticipare nuove tattiche di cryptojacking. Impiegare in tempo reale intelligenza delle minacce e sistemi di rilevamento delle anomalie che segnalano modelli sospetti. I controlli in corso assicurano che le precedenti falle rimangano corrette, riducendo significativamente i rischi di cryptojacking a lungo termine.

Nikola
Kostico
Nikola è uno scrittore esperto con una passione per tutto ciò che riguarda l'alta tecnologia. Dopo aver conseguito una laurea in giornalismo e scienze politiche, ha lavorato nel settore delle telecomunicazioni e dell'online banking. Attualmente scrivo per phoenixNAP, è specializzato nell'analisi di questioni complesse relative all'economia digitale, all'e-commerce e alla tecnologia dell'informazione.