Il mining di criptovalute, una volta considerato non più di una seccatura, un’attività relativamente benigna che prosciugava le risorse della macchina, è in continuo aumento negli ultimi anni, ha sottolineato Microsoft nel descrivere le ultime iniziative dell’azienda in tema di cybersecurity.
Questo aumento dell’attività di mining è spinto dal crescente valore di criptovalute come Bitcoin, dalla crescita di popolarità di diversi altri tipi di criptovalute (Ethereum, Litecoin e Dogecoin) e dalla volatilità di questi mercati.
Con l’aumento dei prezzi delle criptovalute, molti cyber-attacker ora preferiscono usare il cryptojacking, cioè usare un malware che fa mining all’insaputa dell’utente, rispetto al ransomware.
I rischi per le organizzazioni sono aumentati, dato che gli aggressori utilizzano i miner come payload per le campagne di malware. Secondo una recente ricerca di Avira Protection Labs, citata da Microsoft, c’è stato un aumento del 53% degli attacchi di malware di mining delle criptovalute nel Q4 2020 rispetto al Q3 2020.
Inoltre, mette sempre in evidenza Microsoft, con il malware che si evolve di continuo per eludere le tipiche difese anti-malware, rilevare i miner è diventato sempre più difficile.
Questa minaccia crescente è il motivo per cui Microsoft e Intel hanno collaborato per fornire una tecnologia che utilizza il rilevamento delle minacce basato sul silicio per abilitare le capacità di rilevamento e risposta degli endpoint (EDR, endpoint detection and response) in Microsoft Defender for Endpoint.
L’obiettivo della partnership tra Microsoft e Intel è quello di rilevare meglio il malware di mining di criptovalute, anche quando questo malware è offuscato e cerca di eludere gli strumenti di sicurezza.
L’integrazione di Intel Threat Detection Technology (TDT) in Microsoft Defender for Endpoint è un’aggiunta che migliora la capacità di rilevamento e la protezione contro il malware di cryptojacking.
Questa aggiunta, ha affermato Microsoft, si basa sulla partnership esistente e sulla precedente collaborazione per integrare l’Accelerated Memory Scanning di Intel con Defender.
La tecnologia Intel TDT applica il machine learning alla telemetria hardware di basso livello proveniente direttamente dall’unità di monitoraggio delle prestazioni della CPU (PMU, performance monitoring unit).
Ciò, al fine di rilevare l’impronta digitale dell’esecuzione del codice malware in fase di runtime con un overhead minimo.
TDT sfrutta una ricca serie di eventi di profiling delle prestazioni disponibili nei SoC (system-on-a-chip) di Intel per monitorare e rilevare i malware nel loro punto di esecuzione finale, la CPU.
Questo avviene indipendentemente dalle tecniche di offuscamento, anche quando il malware si nasconde all’interno di guest virtualizzati, senza bisogno di tecniche intrusive come il code injection o l’esecuzione di una complessa introspezione dell’hypervisor.
La tecnologia TDT può inoltre “scaricare” l’inferenza di machine learning sulla GPU, consentendo un monitoraggio continuo con un overhead trascurabile.
Sebbene Microsoft sottolinei di non aver riscontrato alcun problema di prestazioni con le attuali implementazioni, l’azienda ha in programma di abilitare le capacità di GPU offloading di Intel TDT nel prossimo futuro.
Anche se Microsoft ha per ora abilitato questa tecnologia in modo specifico per il mining di criptovalute, essa espande gli orizzonti per il rilevamento delle minacce più aggressive come gli attacchi side-channel e i ransomware.
Intel TDT, secondo Microsoft, ha già le capacità per questi scenari e il machine learning può essere addestrato a riconoscere questi vettori di attacco.
Un altro vantaggio è che questa tecnologia non richiede investimenti, configurazioni It o installazioni di agent aggiuntivi.
La soluzione integrata Microsoft Defender for Endpoint e Intel TDT funziona nativamente con i processori Intel Core e la piattaforma Intel vPro di sesta generazione o successive.
Inoltre, ha aggiunto Microsoft, man mano che la tecnologia sarà abilitata su un numero sempre maggiore di piattaforme supportate, si otterrà una preziosa telemetria di machine learning che renderà i modelli esistenti migliori e ancora più efficaci.
