Le botnet di mining di criptovaluta stanno guadagnando milioni per i loro creatori infettando segretamente vari dispositivi in tutto il mondo.
All'inizio di febbraio, oltre mezzo milione di dispositivi informatici sono stati dirottati da una botnet di minatori di criptovaluta chiamata Smominru, costringendo i vari dispositivi a estrarre quasi 9.000 criptocoine Monero senza la conoscenza dei proprietari dei dispositivi, secondo il portale tecnologico ZDNet.
Benvenuti nel mondo maligno delle botnet: una raccolta di vari dispositivi informatici connessi a Internet, che possono includere desktop, server, dispositivi mobili portatili e dispositivi compatibili con Internet of Things (IoT), intenzionalmente infetti e controllati da un tipo comune di malware. Il meccanismo di funzionamento di tali botnet garantisce che i proprietari dei dispositivi rimangano per lo più inconsapevoli del fatto che una botnet sia stata infettata e che ora controlli il loro sistema.
Il sistema consente ai creatori di rastrellare in criptovaluta a spese dei proprietari di dispositivi ignoranti che non hanno idea che le loro macchine vengano utilizzate per produrre criptovalute.
Come funzionano le botnet?
Un sistema botnet è simile al malware per computer standard. Il malware per computer è come qualsiasi altro programma per computer, ma è progettato per utilizzare un computer per attività nefaste come corrompere il sistema, distruggere e / o rubare dati o utilizzarlo per attività illegali che hanno un effetto dannoso sul dispositivo, sui dati e il network. A meno che non vengano rilevati da programmi antivirus / antimalware installati sul dispositivo, tali malware continuano a funzionare all'insaputa del proprietario ed è in grado di replicarsi sugli altri dispositivi collegati in rete.
Allo stesso modo, le botnet sono programmi automatizzati sviluppati come linee di codice dai loro creatori e sono fatti per intrufolarsi nel dispositivo di elaborazione di un utente. Le botnet utilizzano la potenza di elaborazione della macchina, l'elettricità e la larghezza di banda di Internet per estrarre una particolare criptovaluta. (Per ulteriori informazioni, vedi Come funziona il mining di Bitcoin?)
Le botnet sono di solito rilasciate su una rete privata di computer interconnessi in modo che la potenza cumulativa dei vari dispositivi possa tradursi in maggiore potenza computazionale per il mining di criptovaluta, aumentando così l'output di mining e i relativi premi per i creatori di botnet.
Case study su Botnet Smominru Miner
La botnet mineraria Smominru, creata intorno a maggio 2017, aveva estratto con successo circa 9.000 token Monero per un valore di circa 3, 6 milioni di dollari entro febbraio 2018. I ricercatori della società di sicurezza informatica Proofpoint affermano che la botnet include "più di 526.000 host Windows infetti, la maggior parte dei quali riteniamo siano server “.
A causa della sua natura resiliente e della capacità di continuare a rigenerarsi, è stato difficile contenere la sua diffusione nonostante tutti gli sforzi per abbatterlo. Geograficamente, i nodi della botnet mineraria Smominru sono distribuiti in tutto il mondo e la maggior parte di essi si trova in Russia, India e Taiwan.
Dopo le sue indagini e analisi, Proofpoint ha richiesto che un importante pool minerario Monero, MineXMR, vietasse l'indirizzo collegato a Smominru. Sebbene ciò abbia comportato la perdita di controllo degli operatori su un terzo della botnet, gli operatori hanno rapidamente registrato nuovi domini e hanno iniziato il mining verso un nuovo indirizzo nello stesso pool.
Monero sembra essere la criptovaluta preferita calda da estrarre attraverso tali botnet, a causa del suo anonimato e delle sue funzionalità ricche di privacy che rendono difficile tenere traccia dell'indirizzo di destinazione su cui vengono trasferiti i token estratti. (Per ulteriori informazioni, vedi Cos'è la criptovaluta Monero (XMR)?)
Premi più grandi per meno lavoro?
I metodi per estrarre varie criptovalute stanno diventando sempre più complicati e richiedono risorse ogni giorno che passa. Invece di concentrarsi sulla strada difficile ma onesta per beneficiare delle ricompense del mining di criptovaluta, gli operatori di tali botnet prosperano abusando di tutte le modalità disponibili per espandere la loro botnet su sempre più dispositivi e concentrare i loro sforzi ed energie nello sviluppo di tali programmi pre-programmati sistemi. Inoltre, continuano a escogitare diversi modi per rendere più robusta la botnet.
Dato il notevole profitto promesso da tali botnet, il loro numero e i loro effetti negativi dovrebbero aumentare.
“Rimuovere la botnet è molto difficile data la sua natura distribuita e la persistenza dei suoi operatori. Per le aziende, prevenire le infezioni attraverso robusti regimi di patching e sicurezza a più livelli è la migliore protezione da impatti potenzialmente dannosi sull'infrastruttura critica ", ha dichiarato a News.com.au il vicepresidente ProofPoint di Threat Operations, Kevin Epstein.
Nel giugno 2017, un altro exploit simile chiamato DoublePulsar è stato utilizzato per installare malware di mining Monero su vari dispositivi. Alla fine di gennaio 2018, la società di sicurezza TrendMicro ha riferito che i servizi di annunci DoubleClick Google di Google (GOOGL) di Alphabet Inc sono stati utilizzati per distribuire malware di criptovaluta a numerosi utenti in Europa e Asia.
La linea di fondo
Mentre l'infrastruttura di criptovaluta è ancora in evoluzione, tali minacce incombono su reti nascenti. Sebbene possa essere difficile contenere la minaccia a livello di singolo utente, può essere utile monitorare regolarmente i vari processi in esecuzione su singoli dispositivi. (Vedi anche, i prezzi dei bitcoin diminuiscono dopo il "WannaCry" Ransomware Taint.)
