Miner: una nuova minaccia informatica per le aziende

Sappiamo come negli ultimi anni il cybercrime abbia preso sempre più di mira le reti aziendali: il business che c’è dietro è milionario (ne parlavo ad esempio in questo articolo).
Assistiamo oggi ad un nuovo tipo di minaccia, più subdola se mi passate il termine.
Per spiegarvi come funziona dobbiamo fare un passo indietro e parlare un attivo di criptovalute. Tutti bene o male siamo entrati in contatto il bitcoin: sia la rete ma anche i media tradizionali ne hanno ampiamente discusso negli ultimi mesi.
Non entriamo nel dettaglio su cos’è e come funziona. Ci basta sapere che alla base della creazione e gestione dei bitcoin (e più in generale di tutte le criptovalute) ci sono degli algoritmi matematici che devono essere eseguiti.
Chiunque può svolgere questa attività, ed in cambio riceve un compenso. Più calcoli si fanno, più potenza computazionale si mette a disposizione del sistema, più si guadagna. I software che svolgono queste operazioni sono chiamati genericamente miner.
Ma cosa c’entra tutto questo con le reti aziendali? Presto detto: i cybercriminali possono prendere di mira una rete aziendale ed installare un miner che lavorerà in maniera occulta, senza farsi vedere. Il risultato è devastante: l’azienda si troverà un software che utilizzerà una parte della potenza di calcolo per i propri scopi.
Ma come è possibile che un miner entri in una rete aziendale ed inizi le sue attività? Principalmente ci sono 2 modalità di attacco, che poi sono sempre le solite: utilizzando un exploit dei sistemi dell’azienda, oppure tramite un dropper ovvero un software “esca” (come ad esempio una versione di prova di un pacchetto a pagamento) che, una volta installato, attiva sul computer il miner assieme ad una utility che lo rende occulto.
C’è anche un terzo modo per forzare una macchina a minare, utilizzando il browser: l’amministratore di un sito può inserire uno script di mining che entra in funzione – senza che la vittima se ne accorga – quando si visita il sito stesso.

Cosa deve fare l’azienda per prevenire questi attacchi?

Nulla di nuovo:
  1. Avere soluzioni di sicurezza perimetrale aggiornate
  2. Eseguire periodicamente assessment e revisioni della propria rete ed agire di conseguenza
  3. Aggiornare e formare tutto il personale sulle possibili minacce ed i comportamenti da tenere
Sono 3 semplici passaggi ma che spesso non trovano riscontro nelle realtà aziendali perché si crede di essere inattaccabili o che un cybercriminale non abbia alcun interesse verso le nostre reti.
Nulla di più errato. Come vi ho dimostrato, oggi anche solo la capacità di calcolo di un nostro PC può diventare un bersaglio da parte di una rete di malintenzionati e finire per creare un danno dai risvolti impensabili.