Il cryware rischia di diventare un nuovo fronte di guerra per tutti coloro che fanno abitualmente trading di criptovalute e detengono un wallet per poter custodire il proprio tesoro virtuale. A lanciare l’allarme al proposito è stato il team Microsoft 365 Defender Research in un rapporto pubblicato il 17 maggio.

La minaccia che rischia di diventare un tormentone nelle prossime settimane, alla luce del trend riscontrato dai ricercatori, prende di mira in particolare i cosiddetti hot wallets, ovvero i portafogli elettronici i quali, a differenza dei custodial proposti ad esempio dagli exchange, sono archiviati localmente su un dispositivo fornendo un accesso più semplice alle chiavi private necessarie per poter eseguire le transazioni.

Proprio questi dispositivi sono ormai in grande crescita nelle preferenze degli hacker nel corso delle loro sempre più frequenti scorrerie. Andiamo quindi a vedere più da vicino la questione al fine di cercare di capire la questione e, soprattutto, gli eventuali rimedi ad una situazione la quale rischia di sfuggire di mano.

Cos’è il cryware e come funziona

Per cryware si intende la raccolta e l’esfiltrazione di dati direttamente dal portafogli attaccato. Per capire come ciò sia possibile, occorre partire dal processo di creazione di un hot wallet, nel corso del quale all’utente viene fornita una serie di dati i quali gli consentiranno di gestire il dispositivo in caso di necessità, ovvero di movimentazione del suo contenuto. Tra di essi vanno a rientrare:

  • la chiave privatanecessaria al fine di accedere all’hot wallet, firmare o autorizzare le varie transazioni eseguite provvedere all’invio di denaro virtuale ad altri indirizzi;
  • la seed phrase. Si tratta in pratica di una frase mnemonica in grado di rappresentare la chiave privata in maniera tale da poter essere facilmente letta dall’utente. Possiamo affermare che si tratta di una seconda chiave privata in effetti più semplice da memorizzare. Lo standard più diffuso e utilizzato al momento al fine di generare questo genere di frasi formate da un numero di parole oscillante tra 12 e 14 è Bitcoin Improvement Proposal: 39 (BIP39);
  • la chiave pubblica, ovvero l’indirizzo pubblico del portafoglio che deve essere inserito come destinazione dagli utenti quando decidono di inviare i propri fondi ad altri wallet;
  • la password del portafoglio, offerta da alcune applicazioni in qualità di livello aggiuntivo di protezione.

Un attacco cryware, quindi, vedrà gli attaccanti impegnati nel tentativo di identificare ed esfiltrare i dati sensibili dell’hot wallet dal dispositivo individuato, con il preciso intento di dare vita ad una nuova transazione con relativo invio di fondi dal portafoglio attaccato verso un altro indirizzo, naturalmente controllato da loro. Una volta che l’operazione si sarà conclusa, il danno per l’utente attaccato è praticamente irreversibile e a renderlo tale è proprio la natura della blockchain, la quale rende immutabili i dati immessi al suo interno dopo la validazione.

Proprio questa è la differenza di fondo tra cryware e attacchi come quelli alle carte di credito o ad altri strumenti finanziari tradizionali, i quali prevedono meccanismi in grado di aiutare a invertire le transazioni fraudolente. Una differenza contro la quale non c’è rimedio.

Una tecnica non nuova, ma sempre più utilizzata

Sono stati Berman Enconado e Laurie Kirk, ricercatori di Microsoft 365 Defender a ricordare come non si tratti assolutamente di una nuova tecnica di attacco. Per portarla avanti vengono peraltro implementate altre strategie come:

  • il keylogging, teso ad acquisire le sequenze di tasti immesse dalla vittima del raid;
  • il dumping della memoria, con cui è possibile visualizzare le chiavi private in chiaro facendo leva sul fatto che se una chiave privata è stata esportata tramite un’applicazione di portafoglio web, resta disponibile in chiaro nella memoria del processo mentre il browser è in esecuzione;
  • il phishing, in particolare con il varo di siti web e false app incaricate di spingere gli utenti a inserire le chiavi private le quali renderanno possibile l’attacco decisivo al wallet.

I rimedi indicati da Microsoft

Naturalmente, Microsoft non manca di invitare coloro che fanno trading di criptovaluta a mettere in campo strumenti difensivi adeguati, a partire proprio dai propri prodotti. Tra di essi indica in particolare:

  1. Microsoft Defender Antivirus, in grado di rilevare e bloccare il cryware e altri file dannosi;
  2. Microsoft Defender SmartScreen , che si incarica a sua volta di bloccare l’accesso ai siti Web sospettati di essere collegati al cryware;
  3. Microsoft 365Defender, riservato alle organizzazioni, il quale fornisce una difesa completa e coordinata contro eventuali minacce, comprese quelle che potrebbero essere introdotte nelle loro reti tramite i dispositivi di proprietà degli utenti o applicazioni non strettamente collegate al lavoro.

A questi prodotti, antivirus in primis, possono poi essere aggiunte una serie di precauzioni che sono le stesse indicate da lungo tempo dalle aziende che si occupano di cyber-security. In particolare, le seguenti;

  • disabilitare gli hot wallets terminato il trading. Ove non lo si faccia si lascia una porta aperta agli aggressori facilitandone enormemente il compito;
  • chiudere la connessione ai siti collegati al portafoglio quando non si sta provvedendo al trasferimento di fondi legato ad una transazione. La disconnessione del portafogli fa in modo che il sito Web o l’app non possa creare interazioni con il portafoglio dell’utente senza che questi ne sia al corrente;
  • evitare di memorizzare chiavi private in chiaro. In particolare non si devono mai archiviare le frasi iniziali sul proprio dispositivo o sui servizi di archiviazione cloud, in quanto potrebbero essere facilmente intercettate dagli attaccanti nel caso questi riuscissero ad entrare nel computer e a visionarne il contenuto. Molto meglio annotarle su carta e tenerle al sicuro in qualche cassetto della propria scrivania;
  • chiudere in maniera corretta il browser dopo ogni transazione. Ove si provveda in tal senso si impedisce che la chiave privata resti nella memoria dello stesso e possa essere sottratta da eventuali malintenzionati;
  • optare per l’adozione di wallet che implementano l’autenticazione a più fattori (MFA). Un secondo livello di autenticazione può in effetti rivelarsi una vera e propria ancora di salvataggio, in quanto impedisce all’hacker di muovere l’attacco decisivo senza la seconda autorizzazione;
  • prestare il massimo di attenzione ai link ai siti Web e alle applicazioni del portafoglio. I siti approntati specificamente per il phishing sono spesso architettati al meglio per spingere gli utenti a considerarli attendibili. Se si ritiene legittimo un sito si è portati a fare clic su link posizionati al suo interno, aprendo il varco decisivo. Prima di farlo occorre quindi prendere informazioni sul portale in oggetto e, magari, optare per la digitazione o la ricerca manuale dello stesso, assicurandosi al contempo che gli indirizzi siano digitati correttamente in maniera da evitare i siti di phishing i quali sfruttano il typosquatting e il soundquatting;
  • ricontrollare le transazioni in maniera tale da potersi assicurare che il contratto da approvare sia effettivamente quello avviato;
  • evitare di condividere chiavi private o frasi seed con chi si presenti come una sedicente terza parte o sviluppatore di app del portafoglio. Le controparti in questione non necessitano mai di informazioni sensibili, chi le richiede lo fa per operare truffe;
  • preferire un portafoglio hardware ove non sia necessario connettersi attivamente a un dispositivo. Questo genere di wallet memorizza infatti le chiavi private offline;
  • prestare molta attenzione alle estensioni dei file scaricati e salvati. In particolare con Windows è possibile attivare Estensioni nome file al fine di poter esaminare le effettive estensioni dei file su un dispositivo.

L’evoluzione in atto nel cyber-crime

L’affermazione sempre più larga delle criptovalute nel corso degli ultimi anni ha in effetti spinto un numero sempre maggiore di malintenzionati a mettere in atto tecniche tese a prendere di mira questo genere di utenza, sfruttando anche l’abitudine di molte persone a comportamenti al minimo imprudenti. In particolare, chi conserva token da utilizzare per le proprie transazioni o investimenti deve temere una lunga serie di minacce, tra le quali:

  • malware, ovvero software congegnati proprio nel preciso intento di sottrarre chiavi di accesso ai portafogli elettronici oppure spingere il dispositivo attaccato a fare mining di criptovaluta senza che il possessore lo sappia o possa accorgersene. Un esempio al proposito è quello rappresentato dai Trojan ClipBanker, i quali introducono software tesi a controllare gli appunti, rubare informazioni bancarie o altri dati sensibili;
  • ransomware, il quale prevede il blocco del computer attaccato sottraendone il controllo al legittimo possessore, obbligandolo di conseguenza a pagare un riscatto per sperare di tornare alla situazione preesistente (non sempre accade, a dire il vero). In pratica l’hacker chiede un riscatto in criptovaluta per restituire all’attaccato la facoltà di utilizzare il proprio dispositivo o la rete di cui dispone. Si tratta di una pratica particolarmente pericolosa per imprese ed enti. Nel corso della pandemia di Covid si sono avuti attacchi a molte strutture ospedaliere (ad esempio lo Spallanzani di Roma), mettendo a grave rischio la salute pubblica;
  • criptovalute congegnate proprio per rubare asset virtuali. Il caso più noto in tal senso è rappresentato da RedLineStealer e Mars Stealer, ideate con il preciso intento di rubare i dati dei wallet, manipolare gli appunti, o persino dare luogo a contratti intelligenti ingannevoli. In pratica chi pensa di investire in questi progetti sta soltanto aprendo la strada del proprio portafogli agli hacker, senza naturalmente esserne consapevole.

Leggi anche: Hard fork, soft fork e sidechain, le differenze da conoscere per capire le blockchain