Uma técnica desenvolvida pela Akamai conseguiu desativar uma campanha de mineração de criptomoedas que operava há mais de seis anos. O método, descrito na série “Anatomia dos Criptominers”, gerou cálculos inválidos que ativaram os mecanismos automáticos de defesa dos servidores, eliminando os ganhos dos cibercriminosos em poucos segundos.
Leia também
Noruega investiga invasão em redes de 12 ministérios
Prisão e confisco contra falsos devs nos EUA
A abordagem, que funciona a partir de um notebook comum, usou as próprias proteções dos sistemas de mineração contra sobrecarga para causar o banimento automático das carteiras dos atacantes e dos proxies usados por eles. A campanha derrubada utilizava o minerador malicioso Oracle Loader e gerava cerca de US$ 26 mil por ano em criptomoedas.
Durante os testes, os pesquisadores conseguiram reduzir de 3,3 milhões de hashes por segundo para zero a atividade dos dispositivos infectados. O ataque funcionou ao forçar a rede a reconhecer os cálculos inválidos como uma ameaça legítima, o que resultou no bloqueio automático dos elementos maliciosos.
A ferramenta criada para esse processo, chamada XMRogue, permitiu aos pesquisadores se infiltrarem nas redes e enviarem os cálculos incorretos diretamente às pools de mineração. A técnica também contorna proteções do malware XMRig, que costuma descartar hashes ineficazes para preservar a eficiência da botnet.
Nos experimentos, os lucros dos criminosos caíram 76%. A Akamai estima que o impacto poderia ser ainda maior com o bloqueio de outros proxies. A empresa publicou as provas de conceito, o código do XMRogue e mais informações técnicas em sua série de artigos sobre mineradores maliciosos.
