I ricercatori di Kaspersky Lab hanno scoperto un nuovo cryptominer – PowerGhost – che ha già colpito le reti aziendali di diverse regioni del mondo, soprattutto in America Latina
Il mining di criptovalute è oggi uno dei temi più caldi sul fronte della cybersicurezza. Questo tipo di software specializzato nel “fare mining” può creare nuova moneta digitale sfruttando la potenza di calcolo di PC o di dispositivi mobili. I miner malevoli fanno la stessa cosa, ma a spese degli utenti, sfruttando sempre la potenza di calcolo dei computer e dei dispositivi, ma all’insaputa dei loro proprietari. Negli ultimi tempi la minaccia è cresciuta in modo vertiginoso, arrivando a prendere il posto del ransomware come caso di software più dannoso, come dimostrato anche da una precedente ricerca di Kaspersky Lab. Tuttavia, l’emergere di un nuovo cryptominer come PowerGhost, aggiunge alcune novità a questa tendenza. PowerGhost dimostra che gli sviluppatori di miner malevoli stanno spostando la loro attenzione verso l’impiego in attacchi mirati per ottenere maggiori profitti sul fronte economico, come avevano già previsto i ricercatori di Kaspersky Lab.
PowerGhost viene distribuito all’interno delle reti aziendali, infettando sia le workstation sia i server. Per ora sembra che le principali vittime di questo tipo di attacco siano stati utenti di aziende in Brasile, Colombia, India e Turchia. È interessante notare come PowerGhost utilizzi diverse tecniche “fileless” per introdursi in modo discreto nelle reti aziendali: questo significa che il miner non scarica sul disco di memoria alcun file, rendendo più difficile le operazioni di rilevamento e remediation.
L’infezione di una macchina avviene da remoto, tramite exploit o strumenti di remote administration. Quando una macchina viene colpita, la parte principale del miner viene scaricata ed eseguita senza essere memorizzata su disco rigido. Una volta che questo processo è avvenuto, i cybercriminali possono predisporre l’aggiornamento automatico del miner, la sua diffusione all’interno della rete e l’avvio del processo di cryptomining.
“PowerGhost attacca le aziende con l’obiettivo di installare i miner, sollevando nuove preoccupazioni sui software di criptovalute. Il miner che abbiamo esaminato indica che colpire gli utenti ora non basta più e che i cybercriminali stanno rivolgendo la loro attenzione anche alle imprese. E questo fa del mining di criptovalute una vera minaccia per l’intera business community”, ha dichiarato Vladas Bulavas, malware analyst di Kaspersky Lab.
I prodotti Kaspersky Lab rilevano questa minaccia fornendo i seguenti responsi:
- PDM:Trojan.Win32.Generic
- PDM:Exploit.Win32.Generic
- HEUR:Trojan.Win32.Generic
- not-a-virus:HEUR:RiskTool.Win32.BitMiner.gen
Per diminuire il rischio di una possibile infezione da miner malevoli, Kaspersky Lab consiglia di:
- Provvedere sempre agli aggiornamenti su tutti i device in uso. Per impedire ai miner di sfruttare le vulnerabilità, utilizzare strumenti in grado di rilevare proprio le vulnerabilità e di scaricare e installare le patch in modo automatico.
- Non trascurare obiettivi che possono sembrare meno scontati di altri, come i sistemi di gestione delle file, i terminali POS, persino i distributori automatici. Anche questo tipo di apparecchiature possono essere attaccate per fare mining di criptovalute.
- Utilizzare una soluzione di sicurezza dedicata, che disponga di funzionalità di controllo delle applicazioni, di rilevamento “behaviour-based” e di componenti di prevenzione dagli exploit, che possano monitorare azioni sospette delle applicazioni e l’esecuzione di blocchi di file malevoli. Una soluzione come Kaspersky Endpoint Security for Business include questo tipo di funzionalità.
- Per proteggere l’ambiente digitale della propria azienda, è fondamentale informare ed educare i dipendenti e il team IT, tenendo separati i dati sensibili e limitando l’accesso.