Cos'è il crypto malware: le tre famiglie principali
Con il termine crypto malware si identificano tutte le famiglie di software malevolo che hanno come obiettivo le criptovalute — sia per generarle sfruttando le risorse della vittima, sia per rubarne le scorte già accumulate. È una categoria diversa dal ransomware: non cifra i tuoi file, non blocca l'operatività in modo immediato, non mostra note di riscatto. Opera nell'ombra, spesso per mesi, prima di essere rilevato — se mai viene rilevato.
Tre famiglie distinte compongono questo ecosistema di minacce:
1. Cryptojacker (mining malware)
Il cryptojacker si installa su server, workstation o macchine cloud e utilizza la potenza di calcolo della vittima per minare criptovalute — tipicamente Monero (XMR), scelta dagli attaccanti per il suo algoritmo di mining CPU-friendly e per l'anonimato intrinseco delle transazioni. Il malware comunica con un mining pool controllato dagli attaccanti e trasferisce automaticamente i proventi del mining ai loro wallet. La vittima paga l'elettricità e il degrado dell'hardware; gli attaccanti incassano.
Le varianti più diffuse includono XMRig (tool legittimo armato), WannaMine (che si diffonde come un worm sfruttando EternalBlue), e PowerGhost (fileless, opera interamente in memoria RAM tramite PowerShell).
2. Crypto stealer
Il crypto stealer ha un obiettivo diverso: non genera criptovalute ma le ruba. Prende di mira wallet browser (MetaMask, Phantom, Coinbase Wallet), applicazioni desktop di scambio, file di seed phrase salvati su disco, credenziali di accesso agli exchange centralizzati. Una variante specializzata è il Clipper malware: monitora la clipboard in tempo reale e, quando rileva un indirizzo di wallet copiato dall'utente, lo sostituisce silenziosamente con un indirizzo controllato dall'attaccante. Il trasferimento arriva al criminale invece che al destinatario legittimo.
3. Dropper cripto-oriented
La terza categoria è quella dei dropper specializzati nel distribuire sia cryptominer che stealer come payload secondari. Famiglie come RedLine Stealer e Vidar raccolgono credenziali di browser, cookie di sessione, dati di form e wallet in un unico sweep, poi vendono il pacchetto sui mercati underground o usano le credenziali per accessi successivi. In molti casi un'infezione da crypto malware è il segnale che l'attaccante ha già avuto accesso più ampio di quanto apparente.
Il crypto malware non è solo un problema per le aziende che trattano criptovalute. I cryptominer prendono di mira qualsiasi infrastruttura con risorse computazionali disponibili: server applicativi, macchine virtuali, NAS, persino dispositivi OT con CPU libera. Il valore per l'attaccante è la potenza di calcolo, non i dati aziendali.
Cryptojacking: come funziona il mining silenzioso
Il cryptojacking è oggi la forma di crypto malware più diffusa negli ambienti aziendali. Comprendere la meccanica tecnica aiuta a capire perché è così difficile da rilevare con strumenti di sicurezza tradizionali.
File-based: il cryptominer persistente
La variante file-based installa un eseguibile — spesso mascherato da processo di sistema o tool legittimo — che rimane persistente sul sistema attraverso task scheduler, servizi Windows, chiavi di registro o cron job su Linux. L'eseguibile è configurato per avviarsi all'avvio del sistema e comunicare con un pool di mining via HTTPS o via protocollo Stratum su porte non standard.
La difficoltà di rilevamento con antivirus tradizionali nasce da due fattori: primo, molti cryptominer usano XMRig, uno strumento open source perfettamente legittimo — la firma non è quella di un "virus"; secondo, il malware spesso limita l'uso della CPU al 40-60% per non essere rilevato dai monitoraggi di performance, sacrificando parte dei guadagni per la furtività.
Fileless: il cryptominer invisibile
Le varianti fileless, come PowerGhost, operano interamente in memoria RAM senza mai scrivere un file su disco. Vengono iniettate attraverso script PowerShell o WMI (Windows Management Instrumentation) e si propagano lateralmente sulla rete sfruttando le stesse credenziali di amministrazione o gli stessi exploit del sistema. Non lasciano artefatti sul filesystem: l'unico modo per rilevarli è un EDR con analisi comportamentale in-memory o un SIEM che correla il traffico anomalo di rete verso pool di mining noti.
Come entra in azienda
I vettori di accesso del crypto malware sono analoghi a quelli del ransomware, ma con una preferenza per vulnerabilità che garantiscono esecuzione remota di codice su sistemi ad alta disponibilità computazionale:
- Log4Shell (CVE-2021-44228): la vulnerabilità di Log4j è stata sfruttata massivamente per installare XMRig su server Java esposti — un exploit che le campagne di cryptojacking sfruttano ancora oggi su sistemi non patchati.
- ProxyLogon e ProxyShell su server di posta: i server di messaggistica sono bersagli privilegiati per la loro disponibilità 24/7.
- RDP esposto: accesso diretto con credenziali brute-forced permette di installare manualmente il miner.
- Phishing con payload: documento Office con macro o archivio con eseguibile che installa il miner in background.
- Attacchi alla supply chain software: pacchetti npm o PyPI malevoli scaricati dagli sviluppatori.
- Cloud misconfiguration: bucket S3 aperti, API Kubernetes esposte, credenziali cloud in repository pubblici — permettono di creare istanze compute per il mining a spese dell'azienda.
Il cryptojacking su infrastruttura cloud è particolarmente insidioso. Un attaccante che compromette credenziali AWS, Azure o GCP può creare decine di istanze p3.16xlarge GPU ottimizzate per il mining — e la bolletta arriva all'azienda. Aziende italiane hanno ricevuto fatture cloud di 30.000-80.000€ in pochi giorni prima di rilevare l'abuso. I provider cloud offrono alerting sui costi ma non lo attivano di default.
Crypto stealer e Clipper: il furto silenzioso
I crypto stealer sono meno rumorosi dei cryptominer ma potenzialmente più costosi in un singolo evento. Operano in tre modalità principali.
Furto di wallet e seed phrase
Il malware scansiona il filesystem alla ricerca di file di configurazione dei wallet desktop (wallet.dat, file .json di keystore Ethereum, file di configurazione Exodus, Electrum, Trust Wallet). Cerca anche nei percorsi standard delle estensioni browser per trovare il keystore cifrato di MetaMask o Phantom. Con le credenziali di unlock o il seed phrase, l'attaccante svuota completamente il wallet in una singola transazione irreversibile.
Credential harvesting per exchange
Gli stealer moderni come RedLine, Vidar e Raccoon Stealer estraggono automaticamente le credenziali salvate nei browser per tutti i siti visitati — inclusi Coinbase, Binance, Kraken e altri exchange. Raccolgono anche i cookie di sessione attivi, che permettono l'accesso all'account anche senza password (session hijacking), bypassando l'MFA se la sessione è già autenticata.
Clipper malware: l'intercettazione invisibile
Il Clipper malware è forse il più subdolo. Si installa in modo persistente e monitora continuamente la clipboard di Windows. Quando rileva un pattern che corrisponde a un indirizzo di wallet crypto (le lunghe stringhe alfanumeriche di Bitcoin, Ethereum, Monero), lo sostituisce istantaneamente con un indirizzo controllato dall'attaccante. L'utente copia l'indirizzo di destinazione corretto, ma quando incolla trova — se non controlla manualmente — l'indirizzo del criminale. Le transazioni blockchain sono irreversibili.
Anche le PMI che non gestiscono criptovalute come attività principale possono essere vittime dei crypto stealer. Il target non è solo il wallet crypto: RedLine e Vidar rubano tutte le credenziali browser (banking, SaaS aziendali, VPN, email), cookie di sessione e dati delle carte di credito salvati. L'infezione da crypto stealer è spesso il preludio a una compromissione più ampia dell'infrastruttura.
Come riconoscere un'infezione da crypto malware
La caratteristica distintiva del crypto malware è l'assenza di sintomi appariscenti. Nessuna nota di riscatto, nessun file rinominato. Ma esistono indicatori precisi che, una volta noti, permettono una detection efficace.
CPU costantemente all'80-100% senza carichi di lavoro giustificati. In ambienti virtualizzati, l'utilizzo anomalo si riflette sulle metriche dell'hypervisor.
Applicazioni lente, timeout frequenti, response time aumentato. Spesso percepito prima come "problema del server" e non come infezione.
Un server con 8 core a pieno carico 24/7 può consumare 150-300W in più. Su 30 giorni: 100-220 kWh aggiuntivi per macchina infetta.
Query DNS verso domini di mining pool noti (pool.minexmr.com, xmrpool.eu, moneroocean.stream) o verso C2 su porte inusuali.
Processi con nomi insoliti (xmrig.exe, svchost.exe da percorsi non standard come AppData, Temp) o processi PowerShell con argomenti codificati in base64.
Overheating dei server fisici con ventole costantemente al massimo. A lungo termine causa danni hardware prematuri a CPU, RAM e schede madri.
I tool di detection si dividono in due categorie. Gli indicatori di compromissione (IoC) — hash dei file, indirizzi IP e domini di mining pool — sono utili ma hanno vita breve: gli attaccanti cambiano infrastruttura frequentemente. Gli indicatori di comportamento (TTP) — elevato utilizzo CPU da processi non censiti, connessioni di rete verso pool mining, script PowerShell encoded che creano task scheduler — sono più resistenti all'evasione e sono la base del rilevamento degli EDR moderni.
Se sospetti un'infezione, il comando PowerShell Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 mostra i processi con maggiore utilizzo CPU. Su Linux, top o htop ordinati per CPU. Un processo non riconoscibile costantemente in cima alla lista è un indicatore forte. Confronta il percorso dell'eseguibile con il nome del processo: svchost.exe deve sempre trovarsi in C:\Windows\System32\.
Impatto reale su una PMI: i costi nascosti
Il crypto malware tende a essere sottovalutato nelle analisi di rischio delle PMI perché "non blocca il lavoro". Ma i costi accumulati nel tempo possono essere significativi.
prima del rilevamento
server infetti
per server infetto (stima)
Costi energetici
Un server con processori moderni che gira a pieno regime 24/7 per il mining può consumare 200-400W aggiuntivi rispetto al normale utilizzo. Su una PMI con 10 server infetti per 6 mesi (scenario non raro nelle nostre analisi forensi), il costo energetico aggiuntivo si aggira sui 7.000-15.000€ — pagati senza saperlo all'attaccante.
Degrado hardware accelerato
CPU, RAM e schede madri non sono progettate per operare a carico massimo 24/7 per mesi. Il mining intensivo accelera il degrado dei condensatori, aumenta le sostituzioni di componenti e può causare guasti improvvisi. In un data center aziendale, una scheda madre sostituita fuori garanzia può costare 500-2.000€, senza contare i costi di fermo.
Impatto sulla produttività
Con CPU e RAM sotto stress costante, le applicazioni aziendali rallentano. ERP, software di contabilità, CRM, database — tutti i sistemi che dipendono dalle risorse del server diventano più lenti. Il 40% di riduzione delle performance media su sistemi infetti si traduce in ore-uomo perse, frustrazioni del personale e potenziali SLA non rispettati con i clienti.
Responsabilità legale e contrattuale
Se il crypto malware opera su infrastruttura cloud, l'azienda è responsabile dell'utilizzo non autorizzato verso il provider. I ToS di AWS, GCP e Azure vietano esplicitamente l'uso delle risorse per attività illegali (incluso mining non autorizzato su infrastrutture di terzi). L'azienda può essere fatturata per i consumi generati dall'attaccante prima che il problema venga rilevato. In uno scenario GDPR, se i sistemi infetti trattano dati personali e l'infezione viene classificata come data breach (accesso non autorizzato a sistema con dati), scattano gli obblighi di notifica.
Porta d'accesso per attacchi più gravi
Forse il rischio più sottovalutato: un cryptominer attivo è la prova che un attaccante ha già avuto accesso persistente alla rete. Le stesse vulnerabilità sfruttate per installare il miner possono essere usate — o cedute ad altri gruppi — per installare ransomware, esfiltare dati o compromettere le credenziali di dominio. Tra i casi di incident response che gestiamo, il 30% delle compromissioni ransomware presentava tracce di cryptominer preesistenti, spesso non rilevati.
Come proteggere la tua PMI dal crypto malware: checklist
La difesa dal crypto malware richiede una combinazione di controlli tecnici e procedure operative. La buona notizia rispetto al ransomware: spesso è più facile da prevenire perché non ha un obiettivo distruttivo immediato — può essere rilevato prima che causi danni irreversibili.
EDR/XDR con analisi comportamentale
Un Endpoint Detection & Response moderno è il controllo singolo più efficace. Gli EDR non cercano firme di file noti ma analizzano i comportamenti: un processo che improvvisamente apre migliaia di connessioni verso indirizzi IP esterni su porte non standard, oppure uno script PowerShell che decodifica stringhe base64 e spawna processi figli, vengono segnalati indipendentemente dal fatto che il file sia "conosciuto come malware". I tool di mining fileless, in particolare, sono invisibili agli antivirus tradizionali ma non all'analisi comportamentale in-memory.
Patch management sistematico
La grande maggioranza delle campagne di cryptojacking su scala sfrutta vulnerabilità note con PoC pubblici — Log4Shell, ProxyLogon, vulnerabilità Confluence e GitLab, CVE critiche su VPN e appliance di rete. Un programma di vulnerability management strutturato, con patching delle CVE critiche entro 72 ore e monitoraggio EPSS per prioritizzare per probabilità di exploit, riduce drasticamente la superficie d'attacco.
Blocco DNS dei mining pool noti
I cryptominer devono comunicare con un pool di mining per funzionare. Mantenere una lista aggiornata dei domini di mining pool noti (disponibile nei feed di threat intelligence) e bloccarli a livello DNS filtra una categoria intera di malware prima che possano essere operativi. Il filtraggio DNS è un controllo economico e ad alto impatto.
Monitoraggio CPU/GPU nel SIEM
Aggiungere al SIEM alert su utilizzo CPU sostenuto (oltre il 75% per più di 10 minuti su host senza carichi schedulati), correlati all'assenza di processi di business noti, permette una detection proattiva. Nei cloud provider, attivare Budget Alert e anomaly detection sulle spese è obbligatorio — un aumento improvviso del 300% del costo compute è un segnale diretto.
Asset inventory e controllo del cloud
Molte infezioni cloud da crypto malware passano attraverso chiavi API compromesse o accessi IAM dimenticati. Condurre una revisione periodica degli accessi cloud, ruotare le chiavi d'accesso ogni 90 giorni, eliminare gli accessi non utilizzati e abilitare CloudTrail / Azure Monitor per loggare tutte le azioni privilegiata sono misure che riducono sia il rischio di cryptojacking cloud che di altri attacchi.
Protezione degli ambienti di sviluppo
I supply chain attack via pacchetti npm/PyPI sono un vettore crescente per il crypto malware. Usare strumenti di analisi delle dipendenze (SAST, software composition analysis) prima dell'installazione di pacchetti di terze parti, verificare la firma dei pacchetti e restringere i permessi di rete nei container di sviluppo riduce il rischio.
Formazione e awareness
Gli utenti che cliccano su allegati phishing che installano stealer devono sapere cosa cercare. La formazione anti-phishing con simulazioni periodiche riduce il tasso di click su email malevole dal 30% al 5-8% nel corso di 6 mesi. Per chi gestisce wallet crypto personali su dispositivi aziendali, la regola del "verifica sempre il primo e l'ultimo carattere prima di incollare un indirizzo" è una difesa diretta contro il Clipper malware.
Se non hai un EDR ma vuoi una verifica rapida dello stato dei tuoi sistemi: scarica e lancia Process Monitor (Sysinternals) su un server sospetto, filtra per connessioni di rete verso IP esterni su porte 3333, 4444, 5555, 7777 (porte tipiche dei pool Monero). Se trovi connessioni attive verso indirizzi non riconoscibili, hai trovato un potenziale cryptominer. Non è una soluzione permanente, ma è un test di 5 minuti.
Domande frequenti
Cos'è il crypto malware e come si distingue dal ransomware?
Il crypto malware è una famiglia di malware che sfrutta le risorse della vittima o ne ruba le criptovalute. A differenza del ransomware, che cifra i dati e chiede un riscatto, il crypto malware opera spesso in modo silenzioso per mesi. L'assenza di danni visibili immediati lo rende più difficile da rilevare — e proprio per questo può rimanere attivo a lungo, generando costi nascosti crescenti.
Come capisco se un server aziendale è infetto da cryptominer?
I segnali principali sono: CPU o GPU costantemente oltre l'80-90% senza carichi di lavoro evidenti, bolletta elettrica aumentata, performance degradata delle applicazioni, presenza di processi sconosciuti con percorsi anomali, e traffico DNS verso domini di mining pool. Un EDR con analisi comportamentale li rileva automaticamente; un antivirus tradizionale spesso non li intercetta.
Il cryptojacking è illegale?
Sì. L'installazione non autorizzata di software di mining su sistemi altrui configura accesso abusivo a sistema informatico (art. 615-ter c.p.) e appropriazione indebita delle risorse computazionali. Se i sistemi coinvolti trattano dati personali, scattano anche gli obblighi di notifica GDPR in quanto accesso non autorizzato a un sistema che tratta dati personali costituisce data breach.
Il crypto malware può infettare anche dispositivi mobili o NAS aziendali?
Sì. I NAS esposti su Internet (Synology, QNAP) sono stati bersagli di campagne di cryptojacking specifiche — specialmente attraverso vulnerabilità non patchate nei pannelli di amministrazione. I dispositivi mobili Android sono esposti a cryptominer via app store non ufficiali. L'approccio difensivo è lo stesso: patch sistematiche, riduzione della superficie esposta, monitoraggio delle performance.