Pesquisadores de segurança cibernética descobriram duas técnicas eficazes para desativar campanhas de mineração de criptomoedas operadas por botnets. Segundo um novo relatório da Akamai, os métodos exploram vulnerabilidades na topologia e nas políticas de pools de mineração, permitindo interromper totalmente as operações maliciosas. A primeira técnica, chamada bad shares (ações inválidas), consiste em se conectar a um proxy de mineração controlado por hackers e enviar resultados falsos de mineração.
Como esses proxies geralmente não validam os resultados, eles acabam transmitindo essas ações inválidas ao pool. Após uma sequência de ações ruins, o pool bane o proxy, o que paralisa a operação inteira e reduz o uso da CPU das máquinas infectadas de 100% para zero. Para isso, os pesquisadores desenvolveram a ferramenta XMRogue, que simula um minerador e automatiza o envio de ações inválidas ao proxy. Como o proxy funciona como ponto central entre os dispositivos infectados e a pool, seu banimento afeta toda a infraestrutura do ataque.
Já a segunda técnica se aplica quando o minerador malicioso está conectado diretamente a uma pool pública sem uso de proxy. Neste caso, se forem feitos mais de mil acessos simultâneos com o mesmo endereço de carteira, o sistema do pool automaticamente bloqueia a carteira por uma hora. Embora essa interrupção não seja definitiva, exige intervenção e reconfiguração por parte do atacante. As soluções foram testadas contra mineradores da criptomoeda Monero, mas podem ser adaptadas para outras moedas digitais. Segundo a Akamai, enquanto mineradores legítimos podem se recuperar facilmente dessas ações, para operadores de botnets o impacto pode ser devastador.
