La rimozione di domini blockchain malevoli è ancora molto difficile da attuare
A cura di Daniele Nicita, Consulting Systems Engineer di FireEye
I cyber criminali sono da sempre attratti dalle cripto valute in quanto garantiscono un certo livello di anonimato e possono essere facilmente monetizzate. Questo interesse è considerevolmente aumentato negli ultimi anni e va ben oltre il desiderio di utilizzare le cripto-valute come metodo di pagamento per strumenti e servizi illeciti. Molti attori hanno anche cercato di trarre vantaggio economico dalla crescente popolarità e dal conseguente aumento dei prezzi delle cripto-valute, conducendo varie azioni mirate come mining malevolo, la raccolta delle credenziali dei portafogli di cripto-valute, l’estorsione e l’individuazione dei Cryptocurrency Exchange.
In concomitanza con il crescente interesse per il furto di cripto-valute, la Distributed Ledger Technology (DLT), la tecnologia che è alla base delle cripto-valute, ha fornito ai criminali informatici un mezzo unico per ospitare i loro contenuti dannosi.
Tradizionalmente, i cyber criminali hanno utilizzato vari metodi per nascondere le infrastrutture malevoli che utilizzano per ospitare payload aggiuntivi, memorizzare dati rubati e/o funzionare come server di commando e controllo (C2). Tali metodi includono l’utilizzo di host bulletproof, fast-flux, infrastruttura Tor, e/o algoritmi per la generazioni di domini (DGAs – Domain Generation Algorithms).
“Anche se ci aspettiamo che i cyber criminali continuino ad utilizzare queste tecniche, sta emergendo con sempre più forza, un’altra tendenza: l’utilizzo della blockchain.”, dichiara Daniele Nicita, Consulting Systems Engineer di FireEye.
FireEye iSIGHT Intellligence ha identificato, all’interno di community nascoste, l’interesse dei cyber criminali in argomenti relativi all’infrastruttura delle cripto-valute risalenti almeno al 2009. Mentre la ricerca di alcune parole chiave non fornisce un contesto, la frequenza di specifiche parole, come blockchain, Namecoin e .bit mostra un forte incremento delle conversazioni su questi argomenti a partire dal 2015.
Mentre i tradizionali metodi di offuscamento delle infrastrutture come Tor, Bulletproof e fast-flux hosting continueranno ad essere utilizzati nel prossimo futuro, si valuta che l’utilizzo di domini blockchain per infrastrutture malevole continuerà ad acquisire popolarità ed usabilità tra i cyber criminali in tutto il mondo. In concomitanza con il previsto aumento della domanda, è probabile che vi sia un aumento nel numero di offerte di infrastrutture dannose all’interno della comunità sommersa che supportano domini blockchain.
A causa della natura decentralizzata e replicata della blockchain, la rimozione, da parte delle forze dell’ordine, di un dominio dannoso richiederebbe probabilmente la chiusura dell’intera blockchain – una cosa pressoché impraticabile da fare in quanto molti servizi legittimi operano su queste blockchain. Se le forze dell’ordine possono identificare gli individui che gestiscono specifici domini blockchain malevoli, è possibile che si verifichino queste situazioni. Tuttavia, la probabilità che ciò accada dipende in larga parte dal livello di sicurezza operativa mantenuto dai cyber criminali.
Inoltre, poiché essi continuano a sviluppare metodi di offuscamento e protezione delle infrastrutture, la rimozione di domini blockchain continuerà a rivelarsi difficile.