¿Por qué la botnet ZeroAccess detuvo la minería de Bitcoin ?

Esta semana se han publicado varios informes que detallan cómo la empresa de seguridad Symantec desactivó gran parte de una botnet de minería de Bitcoin llamada ZeroAccess. Lo que pocos, si es que alguno, mencionan es que la parte de minería de Bitcoin de la botnet lleva casi seis meses T funcionar, porque sus desarrolladores la desactivaron deliberadamente. La pregunta es, ¿por qué?

ZeroAccess es un malware que integra un ordenador infectado en una gran red de máquinas igualmente comprometidas. Estas pueden ser controladas por un administrador central, comúnmente llamado "molestar", quien hace que las máquinas cumplan sus órdenes.

La mayoría de las botnets Síguenos prácticas delictivas predecibles: utilizan los ordenadores de las víctimas para enviar spam o simplemente recopilan información confidencial de los equipos infectados para que los ciberdelincuentes puedan usarla para robar dinero. Otras se utilizan para el fraude de clics, en el que se obliga a los equipos a hacer clic en enlaces rentables en línea.

ZeroAccess era diferente, ya que incluía un módulo de minería de Bitcoin . El software utilizaba las CPU de las computadoras infectadas para... mina de bitcoins, devolviendo las ganancias a los molestadores.

ZeroAccess no es una botnet nueva. Symantec la detectó por primera vez en el verano de 2011, según Vikram Thakur, investigador de Symantec Security Response. La siguiente revisión importante se publicó un año después, con revisiones menores entremedias.

Pero algo significativo ocurrió en abril de este año, dijo, y continuó explicando:

ZeroAccess desactivó el módulo de minería de Bitcoin en abril de 2013. La botnet aprovechó el poder de hash de todos esos bots hasta abril de 2013 y luego lanzó una actualización que eliminó el módulo de minería. Desde entonces, no se ha realizado ninguna minería en la red ZeroAccess.

¿Por qué los molestos matarían un módulo de software que estaba provocando que muchas máquinas produjeran alegremente bitcoins?

Muchas personas con conocimientos técnicos que lean esto llegarán a la conclusión obvia de que la minería con CPU es inútil, dada la alta dificultad causada por el rápido aumento de la tasa de hash en la red. Esto, a su vez, se debe a una avalancha de hardware de minería ASIC que está desplazando a las GPU, por no hablar de las CPU con un rendimiento computacional deficiente.

SymantecIncluso hace los cálculos, tomando como ejemplo una computadora de prueba relativamente antigua. Se utilizó una Dell OptiPlex GX620 Pentium D de 2 GB y 3,4 GHz para comprobar la eficacia del malware en la minería. Utilizó 136,25 vatios por hora para minar a 1,5 Mh/s. Comparen ese consumo con las máquinas que...KNC Miner acaba de comenzar a enviary es como ver unaReliant Robinal lado de una Ducati.

Gregory Maxwell, ONE del equipo CORE de desarrollo de Bitcoin, afirma que una CPU rápida alcanza velocidades de alrededor de 1 MH/GHz, lo que significa que una máquina rápida de cuatro CORE a 3 GHz podría alcanzar los 12 MH/s. Pero ¿es probable que las máquinas más nuevas se encuentren entre las infectadas?

“Al menos en el pasado, mi impresión ha sido que las máquinas de botnet tendían a ser máquinas más antiguas (menos propensas a tener parches actuales), por lo que eran más parecidas a una máquina de un solo CORE de 2 GHz, o 1,5 Mh/s”, dijo.

Incluso si se infectan máquinas más rápidas, es poco probable que utilicen toda su potencia para minar. Estas estimaciones de tasa de hash suponen que las computadoras estarán completamente inactivas, todo el tiempo.

Por lo tanto, en la práctica, no es probable que la botnet tenga un efecto significativo en la red, argumenta Maxwell. 1,9 millones de hosts de 1,5 MH/s solo equivalen a unos 2,85 TH/s. La red ya está... Hashing a más de 1 Petahash por segundo, lo que significa que esta botnet es poca cosa.

Pero nada de esto importa realmente, debido a la gran cantidad de usuarios que T los principios básicos de seguridad informática y se infectan con frecuencia. En el caso de ZeroAccess, eran 1,9 millones.

Supongamos, para beneficio de los delincuentes, que el uso parcial de la CPU y la infección de máquinas más potentes se compensan mutuamente, y que la tasa de hash promedio de los 1,9 millones de máquinas en la red es de 1,5 Mh/s. Según Symantec, una computadora promedio generaría alrededor de 41 centavos al año. Pero 1,9 millones de ellas generarían miles de dólares al día para los delincuentes. Eso es dinero fácil. ¿Para qué desactivarlo?

Thakur tiene algunas ideas. La primera es un flujo de trabajo de minería deficiente. "El servidor del pool de minería tenía un dominio estático, que podría haber sido desactivado por las fuerzas del orden si alguien denunciara las actividades de la botnet; quizá el botmaster temía ser rastreado por tener un dominio estático como parte de la infraestructura de carga útil", dijo.

Sin embargo, en su mente hay un escenario más probable, que es un caso básico de economía. Incluso si los intrusos ganaran dinero con la minería ilícita, podrían estar ganando más dinero, de forma menos transparente, lo que plantea la cuestión fundamental de dónde invertir mejor la potencia informática.

Thakur sugiere:

“El botmaster no ganó tanto dinero con la minería de Bitcoin (piense en el factor dificultad) en comparación con el fraude de clics.











“Rastrear el fraude dentro de las redes publicitarias es muy difícil, por lo que resulta más lucrativo ocultar ganancias detrás de dicha infraestructura”.

Todas ellas son conjeturas fundamentadas y, hasta que alguien atrape a los sospechosos y los interrogue, nunca lo sabremos con seguridad.

Creemos que se trata de una combinación de ambos factores, y también posiblemente de una reacción instintiva a los movimientos del mercado. Los manifestantes cancelaron la función de minería de Bitcoin en abril, cuando... El interés en Bitcoin alcanzó un máximo históricoY cuando la moneda se desplomó de $266 a $40, quizás decidieron que el valor de la moneda no justificaba los ciclos de CPU adicionales en ese momento.

Apostamos a que el módulo de minería no se reactivará ahora que la potencia de hash de la red se dispara. Symantec también acaba de inutilizar medio millón de máquinas en una ingeniosa maniobra técnica conocida como sinkholing. Cada vez hay menos argumentos para reintroducirlo.

Por otra parte, tan pronto comoLitecoinSi la moneda predominante, basada en la red Scrypt, optimizada para CPU, alcanza el conocimiento general y capta la atención de los usuarios, podemos esperar que las botnets se aprovechen al máximo. Si esto sucede, eso ocurrirá en un par de años.