Nel suo significato più semplice, il cryptomining consiste nel ricevere valuta digitale o criptovaluta in cambio dell’utilizzo dei processori per risolvere complessi algoritmi matematici di hashing. 

Il cryptojacking consiste nell’utilizzo di risorse di computazione non autorizzate o rubate e rappresenta una minaccia sottile ma seria per tutte le aziende nel mondo. Nel 2018, le macchine infettate da malware per il cryptomining hanno superato quelle infettate da ransomware diventando la prima minaccia informatica, a detta di Forbes.
Di recente, se guardiamo all’Europa, diversi supercomputer in Regno Unito, Germania, Spagna e Svizzera sono stati infettati dal malware per il cryptomining e si è stati costretti a spegnerli. Non sono solo i supercomputer ed i grandi centri computazionali ad essere oggetto dell’interesse dei cryptojacker: sotto attacco sono sempre più spesso i desktop, i laptop ed anche i dispositivi mobili aziendali.
Le aziende che preferiscono il cloud computing non sono comunque al riparo, in quanto i cryptojacker hanno perfezionato le proprie tecniche per creare istanze di cloud computing sfruttate per eseguire il codice di cryptomining.
In breve, la minaccia del cryptojacking sta crescendo e diventando un problema grave per le aziende, in quanto scarse sono state le soluzioni efficaci, almeno fino ad oggi.


SINTOMI ED EFFETTI DEL CRYPTOJACKING
Benché il cryptojacking sia considerevolmente meno appariscente ed aggressivo di altre minacce informatiche come il ransomware, nondimeno rimane una grande preoccupazione per le aziende vittima, perché silenziosamente sottrae risorse e produttività agendo indisturbato anche per lunghi periodi di tempo.
Gli autori degli attacchi hanno ideato diverse modalità per distribuire il malware per il cryptomining su un’ampia varietà di dispositivi, il che va a complicare gli sforzi di rilevamento e di correzione. Poiché i cryptominer dipendono pesantemente dalla potenza computazionale, i seguenti sintomi possono indicare un’infezione da cryptojacking:

  • Prestazioni della macchina insolitamente lente
  • Consumo della batteria più rapido del consueto
  • Alto utilizzo di CPU o GPU, specialmente fuori dall’orario di lavoro
  • Surriscaldamento ingiustificato
  • Traffico di rete outbound verso siti in relazione con il cryptomining

 I cryptojacker hanno molti impatti negativi su un’azienda. Riducono la capacità operazionale delle risorse IT, rubando cicli di lavorazione per ottenere criptovalute. I danni da usura inflitti ai dispositivi impiegati per il mining vanno a ridurre il loro ciclo di vita. L’utilizzo continuo di CPU e GPU a piena potenza porta l’hardware a surriscaldarsi con danni permanenti al sistema. La potenza aggiuntiva consumata dalle attività di cryptomining andrà ad aumentare i costi delle utenze aziendali. 

Il rilevamento del cryptomining può essere molto difficile, specialmente quando solo poche macchine sono infette. Senza un’analisi dettagliata, le macchine che sono sottoposte all’emissione di criptovalute sono spesso indistinguibili dalle altre macchine che svolgono le loro normali operazioni di lavoro. Questo rende le perdite da cryptojacking praticamente invisibili fino a quando non diventano considerevoli nel corso del tempo. Piuttosto che abbattere le aziende con un solo colpo violento, il cryptojacking lavora ai fianchi lentamente ma inesorabilmente.


LA PROTEZIONE DI BLACKBERRY E INTEL INSIEME
Per controbattere questa minaccia, BlackBerry® ed Intel® hanno collaborato insieme per fornire una difesa robusta contro il crytpojacking. La partnership con Intel ha portato BlackBerry ad integrare la soluzione di Threat Detection Technology (TDT) di Intel con il modello di machine learning per l’EDR di BlackBerry Optics. BlackBerry Optics è la soluzione avanzata EDR che si basa sull’intelligenza artificiale della tecnologia di Cylance ed è proposta attraverso la nuova BlackBerry Spark UES Suite, una suite completa di prodotti innovativi per la protezione ed il rilevamento delle infezioni su tutti i dispositivi in azienda, siano essi fissi o mobili, all’interno o all’esterno del firewall aziendale, di proprietà dell’azienda oppure personali/BYO.
Intel TDT è un insieme di tecniche di sicurezza finalizzate al rilevamento del malware da cryptojacking. Queste tecniche sono sviluppate partendo dalla telemetria fornita dall’hardware delle moderne CPU vPro di Intel. Grazie al monitoraggio dei contatori nel chip relativi al Performance Monitoring Interrupt (PMI), Intel TDT può rilevare se ci sono processi in esecuzione che si comportano come cryptominer.
L’integrazione del driver di Intel TDT con BlackBerry Optics permette quindi di rilevare e bloccare il cryptojacking o il cryptomining non autorizzato in modo rapido, a livello hardware, senza dover ricorrere a lunghe analisi del codice di un’applicazione o di come l’applicazione stia interagendo con altre aree del sistema operativo.
È poi possibile per gli analisti della sicurezza creare e gestire delle azioni di risposta in automatico in presenza di un evento rilevato da Intel TDT, per il ripristino immediato del dispositivo.
BlackBerry Optics offre inoltre funzionalità di accesso da remoto sul dispositivo in modo da ottimizzare la raccolta di informazioni di sistema e le azioni conseguenti, tramite un’interfaccia utente che permette l’esecuzione di script e comandi tradizionali o nativi: il tutto è vincolato solo a ruoli amministrativi e pienamente tracciato nei log di audit. La gestione dell’emergenza sul sistema infettato avviene quindi praticamente in tempo reale e direttamente da un’unica console, senza dover accedere ad ulteriori risorse per avere tutti i dati significativi sotto controllo.
A questo livello di integrazione su BlackBerry Optics, possiamo dire che la partnership di BlackBerry e Intel sia unica nel proteggere i dispositivi dalla minaccia crescente del cryptojacking.
In aggiunta alle funzionalità EDR superiori offerte da BlackBerry Optics, la BlackBerry Spark UES Suite include anche:

  • BlackBerry® Protect: protezione dal malware basata su intelligenza artificiale, insieme al controllo delle applicazioni e degli script, alla protezione della memoria ed alla gestione di policy sul dispositivo
  • BlackBerry® Persona: soluzione per l’autenticazione continua, basata su intelligenza artificiale, che permette di adattare dinamicamente le policy di sicurezza sulla base del comportamento dell’utente, dei dati biometrici, della posizione, e di altri fattori
  • BlackBerry® Protect for Mobile: la soluzione MTD di BlackBerry, basata su intelligenza artificiale, per la protezione dal malware dei dispositivi mobili


CONFIGURAZIONE DI INTEL TDT SU BLACKBERRY OPTICS
La configurazione di Intel TDT su BlackBerry Optics è davvero semplice. Un nuovo sensore di BlackBerry Optics è stato creato per raccogliere gli eventi rilevati da Intel TDT ed inviarli alle regole CAE (Context Analysis Engine) di analisi comportamentale dei processi.

1.   Device Policy > CylanceOPTICS Settings > abilitare il sensore opzionale “Cryptojacking Detection powered by Intel® Threat Detection Technology”

Una volta abilitato il sensore nelle Device Policy per OPTICS, il motore di CAE riceverà l’evento dal sensore, lo verificherà con la regola corrispondente ed eseguirà le eventuali risposte configurate. 

2.   CylanceOPTICS > Configurations > Detection Rule Sets > selezionare il set di regole CAE impostato > abilitare la regola “Cryptomining Process Detection (Intel® Threat Detection Technology)"

Nel caso in cui venga rilevato un processo di cryptomining su uno dei dispositivi gestiti, questo verrà segnalato da Optics e trattato come da configurazione nella regola CAE. 

Requisiti:

  • Windows 10 x64
  • CPU Intel Gen 6 (“Skylake”, del 2015) o più recenti
  • BlackBerry OPTICS ver. 2.5.2000 o superiore
  • Solo macchine fisiche; il supporto di macchine virtuali sarà rilasciato in una successiva versione