Uma nova tática, que funciona a partir de um notebook simples, foi capaz de encerrar uma campanha maliciosa de mineração de criptomoedas que estava ativa há mais de seis anos, de acordo com a equipe de uma empresa de cibersegurança.
Desenvolvida pela Akamai, a abordagem utilizou o envio de “bad shares” (cálculos incorretos de mineração) para desativar completamente os sistemas dos cibercriminosos, reduzindo a geração de ativos em questão de segundos. Como resultado, os criminosos deixaram de lucrar cerca de US$ 26 mil por ano.
Apresentado na terceira parte da série “Anatomia dos Criptominers”, o método não depende de ações de terceiros para funcionar. A partir de um dispositivo contaminado pelo minerador malicioso Oracle Loader, os pesquisadores usaram as proteções automáticas aplicadas à infraestrutura de mineração, que as protegem contra sobrecarga ou indisponibilidades, para gerar o banimento automático e rápido das carteiras em que os cibercriminosos recebem seus lucros, bem como dos proxies usados por eles para esconder suas origens.
Técnica zerou volume de transações
A geração de ativos nestes sistemas se dá pela validação de shares, cálculos enviados pelos dispositivos e autenticados nas pools, como são chamados os servidores ligados às criptomoedas.
São tarefas complexas, que se tornam ainda mais pesadas nos casos das “bad shares”, erros que também podem acontecer no processo legítimo de mineração e podem levar a suspensões temporárias como medida de proteção.
A técnica desenvolvida pela Akamai gerou uma chuva de solicitações inválidas para ativar as defesas dos servidores e, no caso do Oracle Loader, o impacto foi imediato. O volume de transações caiu de 3,3 milhões de hashes por segundo para zero.
““Normalmente, dependemos de administradores de pools e serviços externos para realizar o banimento das contas dos cibercriminosos. São tarefas complexas e que levam tempo, já que dependem da ação de terceiros“, explica Maor Dahan, pesquisador sênior da Akamai e um dos desenvolvedores do método. “A tática apresenta uma opção melhor, que compromete a eficácia destas botnets ao ponto de encerrá-las completamente.”
Ferramenta possibilitou infiltração em redes de mineração maliciosa
O desenvolvimento do método também levou à criação de uma ferramenta chamada XMRogue, voltada especialmente para combater o XMRig, um dos principais malwares de mineração maliciosa do cenário atual. Ela permite que os pesquisadores se passem por vítimas, ganhando acesso a proxies usados pelos cibercriminosos para envio das “ações ruins”.
A partir daí, o envio em grandes volumes de cálculos inválidos redirecionados para as pools de mineração permite que as operações maliciosas sejam identificadas e derrubadas pelos sistemas automatizados de segurança.
A ferramenta desenvolvida pela Akamai também é capaz de burlar os sistemas do próprio XMRig, que descartam hashes de baixa complexidade ou consideradas inválidas, como forma de maximizar o potencial de mineração dos dispositivos infectados.
O resultado dos testes realizados pelos pesquisadores foi uma queda de 76% nos lucros dos cibercriminosos. A estimativa da empresa é que, caso proxies e sistemas adicionais fossem localizados e atingidos pela técnica, os ganhos poderiam ser zerados, gerando impacto significativo nas ações maliciosas.
““A ameaça dos mineradores deve seguir crescendo, mas agora pode ser combatida, tornando os ataques menos eficazes para os cibercriminosos“, Conclua lentamente.”Esse método utiliza topologia e políticas já existentes para forçar os atacantes a abandonarem completamente as campanhas, já que sua continuidade passa a depender de mudanças radicais que podem não ser vantajosas financeiramente, além de gerarem riscos de identificação.”
As provas de conceito, assim como o código do XMRogue e demais detalhes dos testes realizados, já estão disponíveis na série “Anatomia dos Criptominers”, dividida em três partes publicadas no blog da Akamai.
