Una hora… y los botnets desaparecieron. Todo gracias a un solo número: 1000

Los especialistas de la empresa Akamai publicaron un informe detallado sobre dos nuevos métodos que permiten desactivar botnets de minería de criptomonedas. Estas técnicas están diseñadas para interrumpir el funcionamiento de las redes de minería explotando vulnerabilidades en su arquitectura y las políticas de los pools. La compañía explicó que estudiaron los principios de las topologías de minería más populares y encontraron formas de reducir tanto la eficiencia del botnet que los delincuentes se ven obligados a cambiar radicalmente su infraestructura o abandonar por completo la campaña.

El elemento clave del ataque es el ampliamente utilizado protocolo Stratum, que se emplea para la interacción entre los mineros y los pools. Si se interviene correctamente en el funcionamiento de este protocolo, es posible bloquear el servidor proxy o la billetera de los delincuentes, lo que detiene por completo el equipo de minería.

El primero de los métodos descritos se denomina bad shares (acciones inválidas). Consiste en que los delincuentes protegen sus billeteras reales y pools a través de proxies intermedios. Sin embargo, estos proxies se convierten en el eslabón débil. Los expertos lograron simular una conexión a dicho proxy como si fueran un minero legítimo. Una vez conectados, la herramienta comienza a enviar resultados de cálculo incorrectos, conocidos como bad shares. Estos datos atraviesan el proxy y llegan al pool, donde se registran automáticamente como errores. Si se acumulan suficientes paquetes erróneos, el pool bloquea el propio servidor proxy. Como resultado, todo el botnet que funciona a través de él deja de minar al instante y la carga de la CPU de las víctimas cae del 100% al 0%.

El segundo método está destinado a los casos en los que el botnet se conecta directamente a pools públicos sin pasar por un proxy. Muchos de estos servicios aplican un bloqueo temporal a la billetera si en poco tiempo se conectan a ella más de 1000 mineros. Según los expertos, si se simulan más de mil conexiones con la billetera de los delincuentes, el pool automáticamente bloquea esa dirección durante una hora. Es importante tener en cuenta que tan pronto como cesan las múltiples conexiones, el delincuente puede reactivar su billetera y continuar minando. Sin embargo, repetir este procedimiento con regularidad puede dificultar significativamente el funcionamiento del botnet y reducir la rentabilidad del ataque a cero.

El informe destaca que, aunque estos métodos se probaron en botnets que minan la criptomoneda Monero, pueden adaptarse a otras monedas que utilicen protocolos y arquitecturas similares.

Según los autores, las ventajas de este enfoque radican en que no afecta a los usuarios legítimos ni interfiere en el funcionamiento de los propios pools. Los mineros legales pueden cambiar rápidamente su dirección IP o billetera para continuar trabajando, mientras que los propietarios del botnet necesitarán reconstruir toda su infraestructura, lo que resulta mucho más complicado y costoso. Esto es especialmente crítico para los delincuentes menos experimentados que carecen de los recursos necesarios para modernizar su esquema de forma rápida.