As botnets de mineração de criptomoeda estão ganhando milhões para seus criadores, infectando secretamente vários dispositivos em todo o mundo.
No início de fevereiro, mais de meio milhão de dispositivos de computação foram seqüestrados por uma botnet de mineração de criptomoedas chamada Smominru, forçando os vários dispositivos a minerar quase 9.000 criptocoins Monero sem o conhecimento dos proprietários dos dispositivos, de acordo com o portal de tecnologia ZDNet.
Bem-vindo ao mundo malicioso das botnets - uma coleção de vários dispositivos de computação conectados à Internet, que podem incluir desktops, servidores, dispositivos móveis portáteis e dispositivos compatíveis com a Internet das Coisas (IoT), que são infectados e controlados por um tipo comum de propósito. de malware. O mecanismo de funcionamento dessas redes de bots garante que os proprietários do dispositivo permaneçam inconscientes de que uma rede de bots infectou e agora controla seu sistema.
O sistema permite que os criadores colecionem cryptocash às custas dos proprietários ignorantes de dispositivos que não têm idéia de que suas máquinas estão sendo usadas para produzir criptocoins.
Como funcionam as botnets?
Um sistema de botnet é semelhante ao malware de computador padrão. O malware de computador é como qualquer outro programa de computador, mas foi projetado para usar um computador para atividades nefastas, como corromper o sistema, destruir e / ou roubar dados ou usá-lo para atividades ilegais que afetam negativamente o dispositivo, os dados e a rede. A menos que seja detectado pelos programas antivírus / anti-malware instalados no dispositivo, esse malware continua a ser executado sem o conhecimento do proprietário e é capaz de se replicar nos outros dispositivos conectados na rede.
Da mesma forma, as botnets são programas automatizados desenvolvidos como linhas de código por seus criadores e feitos para se infiltrar no dispositivo de computação do usuário. As redes de bots usam o poder de processamento da máquina, a eletricidade e a largura de banda da Internet para extrair uma determinada criptomoeda. (Para saber mais, consulte Como funciona a mineração de Bitcoin?)
As redes bot são geralmente liberadas em uma rede privada de computadores interconectados, de modo que o poder cumulativo dos vários dispositivos possa resultar em mais poder computacional para a criptomoeda de mineração, aumentando assim a saída da mineração e as recompensas correspondentes para os criadores da botnet.
Estudo de caso de Smominru Miner Botnet
O botnet de mineradora Smominru, criado em maio de 2017, extraiu com sucesso cerca de 9.000 tokens Monero no valor de US $ 3, 6 milhões até fevereiro de 2018. Pesquisadores da empresa de segurança cibernética Proofpoint afirmam que o botnet inclui “mais de 526.000 hosts Windows infectados, a maioria dos quais acreditamos serem servidores. ”
Devido à sua natureza resiliente e capacidade de se regenerar, tem sido uma tarefa difícil conter a propagação, apesar de todos os esforços para eliminá-la. Geograficamente, observa-se que os nós da botnet mineiro Smominru estão distribuídos por todo o mundo, e a maior parte deles é encontrada na Rússia, Índia e Taiwan.
Após suas investigações e análises, a Proofpoint solicitou que um importante grupo de mineração de Monero, o MineXMR, proibisse o endereço vinculado a Smominru. Embora isso tenha resultado nos operadores aparentemente perdendo o controle sobre um terço da botnet, eles rapidamente registraram novos domínios e começaram a minerar para um novo endereço no mesmo pool.
Monero parece ser a criptomoeda favorita a ser extraída através dessas redes de bots, devido ao seu anonimato e recursos ricos em privacidade que dificultam o rastreamento do endereço de destino para o qual os tokens extraídos são transferidos. (Para saber mais, consulte O que é criptomoeda Monero (XMR)?)
Recompensas maiores por menos trabalho?
Os métodos de mineração de várias criptomoedas estão se tornando cada vez mais complicados e com muitos recursos a cada dia que passa. Em vez de se concentrar no caminho difícil, porém honesto, para se beneficiar das recompensas de mineração de criptomoedas, os operadores dessas botnets prosperam abusando de todos os modos disponíveis para expandir sua botnet em mais e mais dispositivos, e concentram seus esforços e energias no desenvolvimento de tais programas pré-programados sistemas. Além disso, eles continuam a desenvolver várias maneiras de tornar a botnet mais robusta.
Dado o lucro significativo prometido por essas redes de bots, seu número e efeitos negativos devem aumentar.
“A retirada da botnet é muito difícil, dada a sua natureza distribuída e a persistência de seus operadores. Para as empresas, prevenir a infecção por meio de esquemas robustos de aplicação de patches e segurança em camadas é a melhor proteção contra impactos potencialmente perturbadores em infraestrutura crítica ”, disse Kevin Epstein, vice-presidente de operações de ameaças da ProofPoint, Kevin Epstein.
Em junho de 2017, outra exploração semelhante, chamada DoublePulsar, foi usada para instalar o malware de mineração Monero em vários dispositivos. No final de janeiro de 2018, a empresa de segurança TrendMicro relatou que os serviços de anúncios DoubleClick do Google, da Alphabet Inc (GOOGL), eram usados para distribuir malware de mineração de criptomoeda para vários usuários na Europa e Ásia.
A linha inferior
Enquanto a infra-estrutura de criptomoeda ainda está evoluindo, essas ameaças pairam sobre redes nascentes. Embora possa ser difícil conter a ameaça no nível do usuário individual, o monitoramento regular dos vários processos em execução em dispositivos individuais pode ajudar. (Veja também, o preço do Bitcoin cai após o "WannaCry" Ransomware Taint.)
