Empresa derruba mineradores maliciosos de criptomoedas que ‘aterrorizavam’ usuários há 6 anos

Uma nova tática, que funciona a partir de um notebook simples, foi capaz de encerrar uma campanha maliciosa de mineradores de criptomoedas que estava ativa há mais de seis anos.

Desenvolvida pela Akamai, empresa especializada em cibersegurança e soluções em nuvem, a abordagem utilizou o envio de ‘bad shares’.

Desse modo, eles foram usados para desativar completamente os sistemas dos cibercriminosos, reduzindo a geração de ativos em questão de segundos.

Como resultado, os criminosos deixaram de lucrar cerca de US$ 26 mil por ano.

Apresentado na terceira parte da série ‘Anatomia dos Criptominers’, o método não depende de ações de terceiros para funcionar.

Além disso, a técnica também bloqueou os proxies utilizados para esconder a origem das operações maliciosas. Os pesquisadores partiram de um dispositivo infectado pelo minerador malicioso Oracle Loader.

Em seguida, eles ativaram as proteções automáticas da infraestrutura de mineração, criadas para evitar sobrecargas e quedas nos servidores.

Com isso, conseguiram forçar o banimento rápido das carteiras usadas pelos cibercriminosos para receber os lucros.

Volume de transações despenca e operação maliciosa é encerrada

Como resultado, o volume de transações despencou de 3,3 milhões de hashes por segundo para zero, encerrando completamente a operação maliciosa.

Os sistemas geram ativos a partir da validação de shares, cálculos enviados pelos dispositivos e confirmados nas pools ligadas às criptomoedas.

No entanto, essas tarefas são complexas e ficam ainda mais pesadas quando envolvem ‘bad shares’, ou seja, cálculos inválidos.

Esses erros também podem surgir na mineração legítima e, por isso, ativam suspensões temporárias como forma de proteção das pools.

A partir disso, a Akamai desenvolveu uma técnica que envia grandes volumes de solicitações inválidas para acionar os sistemas de defesa automaticamente.

Como resultado, no caso do minerador Oracle Loader, o impacto foi imediato e direto.

Mineradores de criptomoedas

‘Normalmente, dependemos de administradores de pools e serviços externos para realizar o banimento das contas dos cibercriminosos.

São tarefas complexas e que levam tempo, já que dependem da ação de terceiros’, explica Maor Dahan, pesquisador sênior da Akamai e um dos desenvolvedores do método.

A tática apresenta uma opção melhor, que compromete a eficácia destas botnets ao ponto de encerrá-las completamente.

O desenvolvimento do método também levou à criação de uma ferramenta chamada XMRogue, voltada especialmente para combater o XMRig, um dos principais malwares de mineração maliciosa do cenário atual.

Ela permite que os pesquisadores se passem por vítimas, ganhando acesso a proxies usados pelos cibercriminosos para envio das ‘bad shares’.

A partir daí, o envio em grandes volumes de cálculos inválidos redirecionados para as pools de mineração permite que as operações maliciosas sejam identificadas e derrubadas pelos sistemas automatizados de segurança.

A ferramenta desenvolvida pela Akamai também é capaz de burlar os sistemas do próprio XMRig, que descartam hashes de baixa complexidade ou consideradas inválidas, como forma de maximizar o potencial de mineração dos dispositivos infectados.

Queda no lucro dos hackers

O resultado dos testes realizados pelos pesquisadores foi uma queda de 76% nos lucros dos cibercriminosos.

‘Os mineradores ainda devem crescer como ameaça, mas agora conseguimos combatê-los, tornando seus ataques muito menos eficazes’, afirma Dahan.

‘Esse método utiliza topologia e políticas já existentes para forçar os atacantes a abandonarem completamente as campanhas, já que sua continuidade passa a depender de mudanças radicais que podem não ser vantajosas financeiramente, além de gerarem riscos de identificação.’

A empresa estima que, ao localizar e atingir proxies e sistemas adicionais com a técnica, conseguirá zerar os ganhos dos cibercriminosos e causar um impacto significativo nas ações maliciosas.

De acordo com a empresa, as provas de conceito, assim como o código do XMRogue e demais detalhes dos testes realizados, já estão disponíveis na série Anatomia dos Criptominers , dividida em três partes publicadas no blog da Akamai.

Leia mais:

• Brasileiros já pagaram R$ 2 trilhões em impostos e governo quer mais com trade de Bitcoin
• Crise, ETFs e Trump: o Bitcoin vai subir até US$ 120 mil em julho?
• Cotação da Solana pode disparar com ETF de staking nos EUA? – Análise