Il SIRT di Akamai, ovvero il Security Intelligence Response Team, ha osservato una campagna di proxyjacking, una tipologia di attacchi informatici. Questo canale di guadagno per i criminali informatici è di tipo fileless, quindi può evitare dei alcuni dei mezzi di rilevamento del cryptojacking e può colpire chiunque, passando inosservato.
Che cosa sono il proxyjacking e il cryptojacking?
Nel mondo le minacce informatiche sono in continua evoluzione, gli hacker cercano sempre nuove strategie per massimizzare i loro guadagni e minimizzare gli sforzi. Il team di Akamai vuole mettere in guardia gli utenti riguardo a questo genere di attacchi, poiché particolarmente frequenti. L’ultimo cyberattacco scoperto dal SIRT di Akamai è il proxyjacking, un attacco informatico a scopo di lucro.
Con questa questo tipo di attacco l’hacker non si limita a rubare risorse, ma sfrutta la larghezza di banda inutilizzata della vittima. Il sistema del bersaglio viene sfruttato di nascosto per eseguire i vari servizi in qualità di nodo proxy peer-to-peer (P2P). I criminali informatici hanno iniziato ad utilizzare il P2P per monetizzare grazie ad organizzazioni come il Peer2Profit o Honeygain.
Il proxyjacking grazie all’accumulo dei proxy risolve essenzialmente l’unico aspetto negativo del cryptojacking, ovvero il rilevamento tramite un elevato utilizzo delle risorse, in particolare la CPU. Questo nuovo cyberattacco può evitare alcuni mezzi di rilevamento precedentemente sperimentati con il cryptojacking.
Come il team di Akamai ha scoperto questi attacchi informatici:
L’8 giugno 2023 il team di Akamai ha notato una serie di connessioni SSH (Secure SHell) anomale da parte di un utente, rivelatosi poi l’attaccante. Grazie alla capacità di controllo e di monitoraggio completo dell’honeyspot attaccato, il team di Akamai è stato in grado di tracciare e documentare tutte le azioni dell’attaccante. Per honeyspot intendiamo letteralmente un “barattolo di miele“, quindi un sistema o software utilizzato come esca o come trappola al fine di proteggersi contro le minacce informatiche. Le azioni sono state svolte principalmente tramite script Bash codificati, ovvero basati su una shell, un’interfaccia testuale molto semplice come il prompt dei comandi. Come prima linea d’azione è stata utilizzata dai malintenzionati un tipo di Bash a doppia codifica, quindi su base 64, molto più complessa del normale. Questo ha permesso loro offuscare la vera funzionalità dello script e illudere i sistemi di sicurezza.
Le best practise per proteggerci da questi attacchi secondo Akamai:
Proteggi i tuoi dati con Bitdefender, Leader in Cybersecurity
Grazie alla natura dell’attacco, la vittima non ha più un alto uso di risorse come la CPU, ma ha uno smisurato uso della banda di rete. Si suggerisce quindi l’uso di sistemi IDS/IPS. Questo genere di soluzioni vengono adottate in ambito aziendale. Un IDS è un sistema di rilevamento delle intrusioni, mentre un IPS è un sistema per la prevenzione delle intrusioni. Entrambi funzionano analizzando i pacchetti nella rete, quindi il traffico della rete interessata.
In ambito domestico, è sufficiente adottare le più blasonate regole, che la maggior parte degli utenti ancora non mette in pratica. Sarà quindi sufficiente utilizzare password diverse e più sintatticamente complicate, in modo da impiegare più tempo a essere decifrate. Abilitare l’autenticazione a due fattori ove possibile, installare le patch delle applicazioni, che molte volte risolvono problemi di sicurezza.
Il SIRT di Akamai continuerà il monitoraggio di questa e altre minacce e fornirà nuovi aggiornamenti appena si presenteranno.
- Sbaraglia, Giorgio (Autore)