Uma nova estratégia, que pode ser aplicada com um simples notebook, conseguiu pôr fim a uma campanha de mineração de criptomoedas que já durava mais de seis anos. Essa informação vem da equipe de uma empresa especializada em cibersegurança.
Desenvolvida pela Akamai, a técnica envolveu o envio de “bad shares” — que são cálculos incorretos na mineração — para desativar os sistemas usados pelos cibercriminosos. Esse processo fez com que eles perdessem cerca de US$ 26 mil por ano em lucros.
Esta abordagem foi apresentada na terceira parte da série “Anatomia dos Criptominers”. O bacana é que ela não depende de nenhuma ação externa para funcionar. Com um dispositivo que havia sido contaminado pelo minerador malicioso conhecido como Oracle Loader, os pesquisadores ativaram as proteções automáticas da infraestrutura de mineração. Isso promoveu o bloqueio automático e rápido das carteiras onde os criminosos recebiam seus ganhos, além de esconder as origens de suas operações.
Técnica zerou volume de transações
Nos sistemas de mineração, a geração de criptomoedas acontece por meio da validação de shares. Essas shares são cálculos que os dispositivos enviam e que são conferidos nas pools, que são os servidores ligados às criptomoedas.
O problema surge com as “bad shares”, que são erros que podem ocorrer até na mineração legítima. Isso pode resultar em suspensões temporárias como uma forma de proteção. Com a técnica proposta pela Akamai, uma avalanche de solicitações inválidas foi gerada, ativando as defesas dos servidores. No caso do Oracle Loader, isso teve um efeito imediato: o volume de transações despencou de 3,3 milhões de hashes por segundo para zero.
Normalmente, os administradores de pools e serviços externos precisam intervir para banir as contas dos cibercriminosos, o que é um processo demorado. “Este método oferece uma solução melhor, que praticamente acaba com a eficácia dessas botnets”, explica Maor Dahan, um dos pesquisadores da Akamai que ajudou a desenvolver essa técnica.
Ferramenta possibilitou infiltração em redes de mineração maliciosa
Além da técnica, a equipe criou uma ferramenta chamada XMRogue, que tem como alvo um dos principais vírus de mineração atualmente, o XMRig. Essa ferramenta permite que os pesquisadores atuem como se fossem vítimas, obtendo acesso a proxies que são usados pelos criminosos para enviar as “bad shares”.
Ao empurrar em massa cálculos inválidos para as pools de mineração, os pesquisadores podem identificar e neutralizar operações maliciosas por meio de sistemas automatizados de segurança.
Um dos pontos interessantes da XMRogue é que ela consegue contornar os próprios sistemas do XMRig, que geralmente descartam hashes de baixa complexidade. Assim, a ferramenta maximiza o potencial de mineração dos dispositivos infectados.
Os testes feitos mostraram uma queda de 76% nos lucros dos cibercriminosos. Os pesquisadores da Akamai acreditam que, se mais proxies e sistemas forem localizados e atacados com essa técnica, os ganhos dos criminosos poderiam ser anulados, afetando severamente suas operações.
“A ameaça dos mineradores vai continuar, mas agora temos formas de agir que vão deixar os ataques muito menos eficazes”, conclui Dahan. Esse método utiliza estruturas e políticas que já existem para forçar os atacantes a abandonarem suas campanhas, pois prosseguir com elas exigiria mudanças drásticas que não compensariam financeiramente e ainda aumentariam o risco de serem identificados.
Se você quer saber mais sobre essa tecnologia e as provas de conceito, elas estão disponíveis na série “Anatomia dos Criptominers”, que pode ser encontrada nos conteúdos da Akamai.
