Sommario
Le botnet di cryptomining rappresentano una delle principali minacce persistenti su scala globale, grazie alla natura distribuita e alla difficoltà di individuazione delle infrastrutture malevole. Akamai presenta una nuova strategia difensiva, basata sull’analisi delle topologie di mining e sulle debolezze strutturali dei proxy e dei wallet utilizzati dagli attaccanti, con risultati concreti nella neutralizzazione delle campagne illegali.
Disattivare una botnet di mining: dal blocco del proxy al ban della wallet
Le soluzioni tradizionali per interrompere le campagne di cryptomining – richiesta di ban agli operatori dei pool o abbattimento dei server d’infrastruttura – risultano spesso inefficaci, lente o complesse. La nuova metodologia si fonda invece sull’invio mirato di bad shares: hash volutamente errati, inviati attraverso il protocollo Stratum, in grado di portare al ban automatico del mining proxy dal pool centrale. Questa azione permette di azzerare la capacità computazionale della botnet, colpendo il punto nevralgico della topologia e costringendo gli attaccanti a una completa riconfigurazione.
Un esempio concreto mostra come sia stato possibile ridurre una botnet attiva da 3,3 milioni di hash al secondo a zero, cancellando di fatto un potenziale profitto annuo di 26.000 dollari per i criminali. Il successo dell’operazione è stato ottenuto utilizzando un semplice laptop e sfruttando la fragilità strutturale dei proxy mining, che aggregano le connessioni delle vittime verso un singolo endpoint.
Funzionamento delle bad shares e sfruttamento delle policy dei pool
Le bad shares sono hash invalidi che, quando inviate ripetutamente, provocano il blocco temporaneo o permanente dell’indirizzo IP o del wallet dal pool di mining. I pool, per proteggere la propria infrastruttura, penalizzano automaticamente chi invia troppi hash errati, rendendo questa tecnica estremamente efficace per la difesa proattiva. L’attacco consiste nel collegarsi come “finto” miner al proxy malevolo, recuperare i parametri necessari (worker ID, job ID, nicehash nonce) e inviare risultati falsi che superino la validazione del proxy ma vengano respinti dal pool, causando il ban.
La toolchain XMRogue, sviluppata da Akamai, automatizza il processo, permettendo di individuare i proxy attivi e inviare sequenze di bad shares, fino al blocco totale delle campagne di mining illegale. L’impatto economico è notevole: campagne che producevano oltre 50.000 dollari all’anno sono state ridotte del 76% fino alla completa neutralizzazione.
Ban della wallet: colpire campagne senza proxy
Quando la campagna non si affida a proxy ma a connessioni dirette delle vittime verso i pool pubblici, la tecnica si adatta: in questo scenario, il ban avviene non più sull’IP, ma sull’indirizzo wallet dell’attaccante. Simulando oltre 1.000 login simultanei con la wallet malevola, il pool attiva un ban temporaneo o permanente, bloccando ogni ulteriore guadagno per l’attaccante. Anche in questo caso, l’effetto è immediato e drastico: l’hashrate della campagna crolla in pochi istanti, costringendo i criminali a modificare il codice della botnet o ad abbandonare l’operazione.
Limiti e prospettive future della difesa attiva
La tecnica delle bad shares non è una soluzione definitiva, poiché i criminali possono ripristinare le attività cambiando proxy o wallet, ma rappresenta oggi l’unico approccio realmente proattivo in grado di interrompere grandi campagne con azioni rapide e scalabili. L’impatto sulle operazioni legittime è minimo, poiché un miner regolare può facilmente cambiare IP o wallet locale, mentre per una botnet distribuita la riconfigurazione risulta molto più onerosa.
