Het gebruik van gestolen rekenkracht om cryptocurrencies te kunnen ontginnen is een winstgevende criminele onderneming. Maar tot nu toe realiseerde niemand op welke schaal deze activiteit plaatsvindt.
Cryptocurrencies zijn magneten geworden voor ongeoorloofde activiteiten, zoals diefstal en fraude. Maar een van de minder gerapporteerde misdaden is het gebruik van gestolen rekenkracht om valuta's zoals Bitcoin en Monero te delven. De opbrengst van deze diefstal kan vervolgens worden ingewisseld voor echte valuta en enorme voordelen opleveren voor kwaadwillende actoren.
Gezien hoe weinig bekend is over deze vorm van criminaliteit is een interessante vraag: hoe uitgebreid zijn deze illegale mining netwerken en hoeveel geld verdienen ze?
Vandaag krijgen we een antwoord dankzij het werk van Sergio Pastrana aan de Charles III Universiteit van Madrid in Spanje en Guillermo Suarez-Tangil aan King's College in Londen. Zij hebben deze netwerken voor het eerst in detail geanalyseerd en zeggen dat ze veel meer opbrengst genereren dan iedereen had gedacht.
Pastrana en Suarez-Tangil schatten dat dit soort misdaad meer dan $50 miljoen heeft gegenereerd. En ze gaan verder met onthullen hoe de cybercriminelen hun misdaden uitvoeren. "Voor zover ons bekend is presenteert dit document de grootste systematische studie van kwaadwillige binaire crypto-mining." zeggen ze.
Er zijn in wezen twee manieren om de rekenkracht te stelen. De eerste is om een webpagina in te stellen die een script bevat dat de CPU van de computer kaapt. Nietsvermoedende bezoekers van de site merken plotseling dat hun CPU overbelast raakt en dat hun fans vol aanslaan.
Natuurlijk kan de list worden gestopt door de verantwoordelijke webpagina te sluiten. Cybersecurity-experts hebben dit soort activiteiten geanalyseerd door de webpagina's die dit soort malware bevatten te tellen en te schatten hoe vaak ze worden bezocht en voor hoelang.
Crypto-miningpakket aangeboden in een undergroundforum, inclusief botnet-setup, XMR-mineren proxy. Permanente link: https://perma.cc/4FN8-B98M.
Koop veilig en snel coins op Litebit!
Koop veilig en snel coins op Litebit!
De tweede methode is veel moeilijker te onderzoeken. Het bestaat uit crypto-mining-malware, vaak begraven in legitieme code, die gebruikers nietsvermoedend installeren en uitvoeren op hun computers.
Deze malware is ontworpen om moeilijk te detecterente zijn. Sommige malware schakelt uit wanneer de gebruiker de task manager opent dus het bewijs van zijn activiteit is moeilijk te zien. Andere typen worden alleen ingeschakeld wanneer de CPU inactief is, ervan uitgaande dat de gebruiker zich niet bij het apparaat hoeft te bevinden.
Pastrana en Suarez-Tangil richten hun onderzoek op dit tweede type van cryptomining malware, ook bekend als binaire malware. En hun analyse is onthullend.
Ter informatie; het minen van cryptocurrency is het proces dat een overzicht van transacties versleutelt zodat het later niet kan worden gewijzigd of gemanipuleerd. Deze codering moet krachtig genoeg zijn dat het bijna onmogelijk is om opnieuw te engineeren.
Dat vereist een aanzienlijke hoeveelheid rekenkracht, wat een waardevolle hulpbron is. Miners worden dus beloond voor hun inspanningen met kleine hoeveelheden cryptocurrency. Daarom wordt het proces mining genoemd: omdat het nieuwe valuta creëert.
Het mining processis zo intensief dat miners vaak samenkomen in mining pools. Op deze manier combineren ze hun rekenkrachten delen ze de beloningen die in portefeuilles met cryptocurrency worden uitbetaald.
Cryptomining-malware doet dit allemaal met behulp van de rekenkracht van zijn hostcomputer. Het werkt meestal door het downloaden van open source mining-software die het coderen uitvoert, zich aanmeldt bij een miningpool en vervolgens alle beloningen in een portemonnee overzet.
Maar juist dit proces heeft Pastrana en Suarez-Tangil in staat gesteld om de activiteit van deze kwaadwillende minerste analyseren. De kwaadwillige code bevat details van de pools waartoe hij is verbonden en de portefeuilles waar geld in wordt gestort.
De onderzoekers halen deze informatie eenvoudigweg op enorme schaal uit de malware. Ze hebben tussen 2007 en 2018 1 miljoen voorbeelden verzameld van cryptomining-malware. Vervolgens analyseerden ze de betrokken code en voerden ze de malware uit in een beschermde sandbox-omgeving om te zien wat het deed.
Dat onthulde de pools die het vaakst betrokken zijn bij illegale cryptomining. Het onthulde ook de portefeuilles, waardoor de onderzoekers konden zien hoeveel cryptocurrency elk had ontvangen. "Vervolgens analyseren we openbaar beschikbare betalingen die vanuit mining poolsnaar de wallets zijn verzonden als beloning voor minenen schatten we de winst voor de verschillende campagnes" zeggen ze.
De resultaten van deze analyse zorgen voor interessante lectuur. De onderzoekers vinden dat Monero veruit de meest populaire cryptocurrency voor criminelen is en dat de schaal van hun activiteiten enorm is. Pastrana en Suarez-Tangi zeggen dat meer dan 4,3 procent van alle cryptocurrency van Monero in omloop het resultaat is van criminele activiteiten.
Evolutie van het aantal threads opundergroundforums met betrekking tot het minenvan verschillende crypto-valuta's.
En het is een winstgevend bedrijf. Wisselkoersen voor cryptocurrencies hebben in de loop van de tijd enorm gevarieerd. Omdat er geen manier is om te weten wanneer criminelen hun winsten hebben omgezet moesten Pastrana en Suarez-Tangi de winst inschatten. Maar zelfs met conservatieve schattingen is de opbrengst groot.
"Onze winstanalyse toont campagnes met miljoenen inkomsten", zeggen ze. Inderdaad, het totale gewonnen bedrag op deze manier is ongeveer $56 miljoen in de afgelopen tien jaar. Het grootste deel lijkt te zijn gewonnen door een relatief klein aantal spelers. "Een van de belangrijkste redenen voor het succes van deze criminele onderneming is de relatief lage kosten en het hoge rendement van de investeringen", zeggen de onderzoekers.
Het stoppen van deze illegale activiteit is ook niet gemakkelijk. Tijdens hun onderzoek hebben Pastrana en Suarez-Tangi illegale portemonnees gemeld aan de grootste mining pools in de hoop dat ze zouden worden geweerd.
Maar ze liepen tegen twee problemen aan. Ten eerste weigerden sommige niet-coöperatieve pools om portefeuilles te verbieden die gekoppeld zijn aan cryptomining malware. Ten tweede hebben verschillende succesvolle illegale cryptomining campagnes verschillende pools tegelijkertijd gebruikt en dit maakt ze veerkrachtiger voor afnameprocedures.
Eén tegenmaatregel lijkt echter goed te werken. Zo nu en dan maken cryptocurrency-autoriteiten wijzigingen in de algoritmen die worden gebruikt om de valuta te delven. Wanneer dit gebeurt, moet de mining software worden bijgewerkt.
Dat is geen probleem voor legitieme miners. Maar illegale miners moeten een manier vinden om de malware die ze hebben verspreid over het web te updaten. Dat is niet zo'n gemakkelijke taak.
Monero veranderde zijn algoritmen twee keer in 2018. "Bij elke verandering stopten ongeveer 73% en 90% van de campagnes hun activiteiten", zeggen Pastrana en Suarez-Tangil.
Dit is interessant werk dat het deksel vaneen enorm winstgevende maar grotendeels niet-gerapporteerde criminele activiteit tilt. Het suggereert ook een effectieve manier om het aan te pakken door regelmatig mining algoritmes bij te werken. Het zal interessant zijn om te zien hoe de cryptocurrency-gemeenschap reageert.
Ref: arxiv.org/abs/1901.00846 : A First Look at the Crypto-Mining Malware Ecosystem: A Decade of Unrestricted Wealth
Reactie plaatsen
Reacties