Een crimineel crypto-mining-ecosysteem van miljoenen dollars is ontdekt

mevrouw Tech; Foto: Pixabay





Cryptocurrencies zijn magneten geworden voor illegale activiteiten zoals diefstal en fraude. Maar een van de minder gerapporteerde misdaden is het gebruik van gestolen verwerkingskracht om valuta's zoals Bitcoin en Monero te delven. De opbrengst van deze diefstal kan vervolgens worden ingewisseld voor echte valuta, wat enorme beloningen oplevert voor kwaadwillende actoren.

Hoe uitgebreid zijn deze illegale mijnbouwnetwerken en hoeveel geld verdienen ze?

Vandaag krijgen we een antwoord dankzij het werk van Sergio Pastrana aan de Charles III Universiteit van Madrid in Spanje en Guillermo Suarez-Tangil aan King's College London. Deze jongens hebben deze netwerken voor het eerst in detail geanalyseerd en zeggen dat ze veel rijkere oogsten genereren dan iemand zich had kunnen voorstellen.



Pastrana en Suarez-Tangil schatten dat dit soort misdaad meer dan $ 50 miljoen heeft opgeleverd. En ze onthullen hoe de cybercriminelen hun misdaden uitvoeren. Voor zover wij weten, presenteert dit artikel de grootste systematische studie van kwaadaardige binaire cryptomining, zeggen ze.

Er zijn in wezen twee manieren om de verwerkingskracht te stelen. De eerste is het opzetten van een webpagina met een script dat de CPU van de computer kaapt. Nietsvermoedende bezoekers van de site merken plotseling dat hun CPU overbelast is en dat hun fans het geweldig vinden.

Natuurlijk kan de list worden gestopt door de verantwoordelijke pagina te sluiten. Cybersecurity-experts hebben dit soort activiteiten geanalyseerd door de webpagina's die dit soort malware bevatten te tellen en in te schatten hoe vaak ze worden bezocht en voor hoe lang.



De tweede methode is veel moeilijker te onderzoeken. Het bestaat uit cryptomining-malware, vaak begraven in legitieme code, die gebruikers nietsvermoedend installeren en uitvoeren op hun computers.

Deze malware is ontworpen om moeilijk te detecteren te zijn. Sommige malware wordt uitgeschakeld wanneer de gebruiker Taakbeheer opent, dus het bewijs van zijn activiteit is moeilijk te zien. Andere typen schakelen alleen in als de CPU niet actief is, in de veronderstelling dat de gebruiker niet bij het apparaat aanwezig moet zijn.

Pastrana en Suarez-Tangil richten hun onderzoek op dit tweede type cryptomining-malware, ook wel bekend als op binaire bestanden gebaseerde malware. En hun analyse is onthullend.



Eerst wat achtergrond. Cryptocurrency-mining is het proces dat een record van transacties versleutelt, zodat het later niet kan worden gewijzigd of geknoeid. Deze codering moet sterk genoeg zijn om het record bijna onmogelijk te herontwerpen.

Dat vereist een aanzienlijke verwerkingskracht, wat een waardevolle hulpbron is. Dus mijnwerkers worden beloond voor hun inspanningen met kleine hoeveelheden cryptocurrency. Daarom wordt het proces mining genoemd: omdat het nieuwe valuta creëert.

Het mijnbouwproces is zo intensief dat miners vaak samenkomen in pools. Op deze manier combineren ze hun verwerkingskracht en delen ze vervolgens de beloningen, die worden gestort in cryptocurrency-wallets.



Cryptomining-malware doet dit allemaal met behulp van de verwerkingskracht van zijn hostcomputer. Het werkt over het algemeen door open-source mining-software te downloaden die de codering uitvoert, in te loggen op een mining-pool en vervolgens eventuele beloningen over te dragen naar een portemonnee.

Maar het is precies dit proces dat Pastrana en Suarez-Tangil in staat heeft gesteld de activiteiten van deze kwaadaardige mijnwerkers te analyseren. De kwaadaardige code bevat details van de pools waarmee het verbinding maakt en de portefeuilles waarin geld wordt gestort.

De onderzoekers extraheren deze informatie eenvoudigweg op grote schaal. Ze verzamelden 1 miljoen voorbeelden van cryptomining-malware die tussen 2007 en 2018 actief was. Vervolgens analyseerden ze de betrokken code en voerden ze de malware uit in een beschermde sandbox-omgeving om te zien wat het deed.

Dat onthulde de pools die het vaakst betrokken zijn bij illegale cryptomining. Het onthulde ook de portefeuilles, waardoor de onderzoekers konden zien hoeveel cryptocurrency elk had ontvangen. Vervolgens analyseren we openbaar beschikbare betalingen die vanuit mining-pools naar de wallets worden gestuurd als beloning voor mining, en schatten we de winst voor de verschillende campagnes, zeggen ze.

De resultaten van deze analyse zorgen voor geïnteresseerde lectuur. De onderzoekers stellen vast dat Monero verreweg de populairste cryptovaluta is voor criminelen en dat de omvang van hun activiteiten onthutsend is. Pastrana en Suarez-Tangi zeggen dat meer dan 4,3% van alle Monero-cryptocurrency in omloop het resultaat is van criminele activiteiten.

En het is een winstgevende onderneming. Wisselkoersen voor cryptocurrencies zijn in de loop van de tijd enorm veranderd. Aangezien er geen manier is om te weten wanneer criminelen hun winsten hebben omgezet, hebben Pastrana en Suarez-Tangi deze moeten schatten. Maar zelfs met conservatieve schattingen is de opbrengst groot.

Onze winstanalyse onthult campagnes met een winst van meerdere miljoenen, zeggen ze. Het totale bedrag dat op deze manier is gedolven, bedraagt ​​inderdaad ongeveer $ 56 miljoen in de afgelopen 10 jaar. En het meeste hiervan lijkt te zijn verkregen door een relatief klein aantal actoren. Een van de belangrijkste redenen voor het succes van deze criminele onderneming zijn de relatief lage kosten en het hoge investeringsrendement, aldus de onderzoekers.

Het stoppen van deze illegale activiteit is ook niet eenvoudig. Tijdens hun onderzoek meldden Pastrana en Suarez-Tangi illegale portemonnees aan de grootste mijnbouwpools in de hoop dat ze zouden worden verboden. Maar ze liepen tegen twee problemen aan. Ten eerste weigerden sommige niet-coöperatieve pools om portemonnees te verbieden die waren gekoppeld aan cryptomining-malware. Ten tweede gebruikten sommige succesvolle illegale cryptomining-campagnes meerdere pools tegelijkertijd, waardoor ze beter bestand waren tegen verwijderingsoperaties.

Eén tegenmaatregel lijkt echter goed te werken. Zo nu en dan brengen cryptocurrency-autoriteiten wijzigingen aan in de algoritmen die worden gebruikt om de valuta te delven. Wanneer dit gebeurt, moet de mining-software worden bijgewerkt.

Dat is geen probleem voor legitieme mijnwerkers. Maar illegale mijnwerkers moeten een manier vinden om de malware die ze op internet hebben verspreid, bij te werken. Dat is niet zo'n gemakkelijke taak.

Monero heeft zijn algoritmen in 2018 twee keer gewijzigd. Bij elke wijziging stopten ongeveer 73% en 90% van de campagnes hun activiteiten, zeggen Pastrana en Suarez-Tangil.

Dat is interessant werk dat het deksel op een enorm winstgevende maar grotendeels niet-aangegeven criminele activiteit opheft. Het suggereert ook een effectieve manier om het aan te pakken door mijnalgoritmen regelmatig bij te werken. Het zal interessant zijn om te zien hoe de cryptocurrency-gemeenschap reageert.

Referentie: arxiv.org/abs/1901.00846 : Een eerste blik op het crypto-mining malware-ecosysteem: een decennium van onbeperkte rijkdom

zich verstoppen