Secondo il Microsoft Threat Intelligence Center (MSTIC), il cybercrime avrebbe iniziato a finanziarsi anche grazie al mining illecito di Monero (XMR).
Lo rivela un post pubblicato sul blog ufficiale di Microsoft dedicato alla sicurezza, che svela come un’organizzazione criminale come BISMUTH, definita come una “nation-state actor” a partire da luglio abbia iniziato ad infettare con miner di Monero macchine sia del settore privato che di istituzioni governative, in particolare in Francia e Vietnam.
BISMUTH infatti conduce attacchi di cyber-spionaggio complessi dal 2012 e colpisce prevalentemente grandi multinazionali, governi, servizi finanziari, istituzioni educative ed organizzazioni per i diritti umani e civili,
Ogni miner installato aveva un indirizzo pubblico differente, ed avrebbe guadagnato oltre mille dollari durante i vari attacchi.
Infatti il guadagno dipende solamente da quanta potenza di calcolo riesce ad utilizzare, e per quanto tempo, pertanto è sufficiente che venissero installati su macchine potenti, e fatti girare sufficientemente a lungo, per produrre introiti significativi.
Il mining di Monero si può fare utilizzando anche le normali CPU di computer o server, e sono stati osservati diversi attacchi di organizzazioni criminali finalizzati ad installare su macchine compromesse dei software in grado di sfruttare la potenza di calcolo delle macchine infette per minare XMR.
Inoltre l’elevato livello di privacy delle transazioni in Monero rende estremamente difficile tracciare i movimenti dei fondi.
BISMUTH, Monero utilizzata per il cybercrime
Gli obiettivi ultimi di questa organizzazione sono rimasti gli stessi, ovvero lo spionaggio ed il furto di informazioni, e l’utilizzo dei miner sarebbe soltanto un altro modo per monetizzare le reti che sono riusciti a compromettere.
Secondo il MSTIC questo utilizzo di miner Monero da parte di BISMUTH sarebbe inaspettato, ma coerente con i metodi del gruppo.
Inoltre consentirebbe di ridurre il livello di rischio, perché questo genere di attacco viene percepito come meno allarmante rispetto a quelli tradizionalmente effettuati da questa organizzazione.
In genere questi attacchi iniziano con l’invio di email di phishing o messaggi di posta elettronica contraffatti o contenenti malware, pertanto Microsoft consiglia di:
- implementare appositi filtri sulla posta elettronica,
- disabilitare le macro,
- limitare i server dall’effettuare connessioni arbitrarie,
- educare gli utenti, onde ridurre il rischio di subire attacchi simili.
Va tuttavia detto che è piuttosto difficile difendersi da attacchi simili se una macchina è stata compromessa, pertanto fino a che ci saranno macchine compromesse è lecito attendersi che ci saranno anche attacchi di questo genere che produrranno introiti più o meno significativi per i cybercriminali.
