Hi-Tech
Computer rallentato? Potrebbe essere colpa di PowerGhost
I ricercatori di Kaspersky Lab hanno scoperto un nuovo cryptominer che ha già colpito le reti aziendali di diverse regioni del mondo. Ma è solo l’ultima novità nell’ambito di una preoccupante tendenza che vede i criminali informatici impiegare sempre di più questo genere di attacchi
Il mining di criptovalute è oggi uno dei temi più caldi sul fronte della cybersicurezza. Questo tipo di software specializzato nel fare mining può creare nuova moneta digitale sfruttando la potenza di calcolo di Pc o di dispositivi mobili. I miner malevoli fanno la stessa cosa, ma a spese degli utenti, sfruttando sempre la potenza di calcolo dei computer e dei dispositivi, ma all’insaputa dei loro proprietari. Negli ultimi tempi la minaccia è cresciuta in modo vertiginoso, arrivando a prendere il posto degli attacchi condotti con ransomware. Tuttavia, la diffusione della minaccia attraverso il miner PowerGhost dimostra che gli hacker stanno spostando la loro attenzione verso l’impiego in attacchi mirati per ottenere maggiori profitti sul fronte economico.
PowerGhost viene distribuito all’interno delle reti aziendali, infettando sia le workstation sia i server. Per ora sembra che le principali vittime di questo tipo di attacco siano stati utenti di aziende in Brasile, Colombia, India e Turchia. È interessante notare come PowerGhost utilizzi diverse tecniche “fileless” per introdursi in modo discreto nelle reti aziendali: questo significa che il miner non scarica sul disco di memoria alcun file, rendendo più difficile le operazioni di rilevamento e bonifica. «PowerGhost attacca le aziende con l’obiettivo di installare i miner, sollevando nuove preoccupazioni sui software di criptovalute. Il miner che abbiamo esaminato indica che colpire gli utenti ora non basta più e che i cybercriminali stanno rivolgendo la loro attenzione anche alle imprese. E questo fa del mining di criptovalute una vera minaccia per l’intera business community», ha dichiarato Vladas Bulavas, malware analyst di Kaspersky Lab.
L’infezione di una macchina avviene da remoto, tramite exploit o strumenti di gestione remota. Quando una PC viene colpito, la parte principale del miner viene scaricata ed eseguita senza essere memorizzata su disco rigido. Una volta che questo processo è avvenuto, i cybercriminali possono predisporre l’aggiornamento automatico del miner, la sua diffusione all’interno della rete e l’avvio del processo di cryptomining.
Non solo i computer possono essere oggetto di questo tipo di attacchi, ma anche i terminali POS e persino i distributori automatici. Per proteggersi è fondamentale possedere una protezione di sicurezza efficace, basata sul rilevamento “behaviour-based” e provvedere sempre all’aggiornamento del sistema.
