AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Nuevas técnicas permiten desmantelar botnets de criptominería explotando vulnerabilidades en los pools

admin

#### Introducción

La lucha contra las botnets de criptominería representa uno de los mayores retos actuales en la ciberseguridad corporativa. Estas redes de equipos infectados, dedicadas a minar criptomonedas de forma ilícita, consumen recursos computacionales, degradan la productividad y abren la puerta a otras amenazas dentro de las infraestructuras comprometidas. Un informe reciente de Akamai describe dos métodos innovadores para interrumpir estas botnets, aprovechando características inherentes a la arquitectura de los pools de minería y sus políticas de operación. Este artículo analiza en detalle estos hallazgos, su relevancia técnica y sus implicaciones estratégicas para equipos de seguridad y responsables de la protección de infraestructuras críticas.

#### Contexto del Incidente o Vulnerabilidad

La minería ilegal de criptomonedas mediante botnets no es nueva, pero en los últimos años ha evolucionado gracias a la sofisticación de los operadores y la diversificación de las técnicas de persistencia y evasión. Según cifras de Akamai, el 17% de los incidentes de malware observados en 2023 estaban relacionados con la minería de criptomonedas, afectando principalmente a infraestructuras cloud, servidores de bases de datos desprotegidos y endpoints corporativos.

Las botnets de criptominería suelen aprovechar vulnerabilidades conocidas en software desactualizado (por ejemplo, CVE-2021-3129 en Laravel o CVE-2022-22965 en Spring Framework), así como credenciales débiles o expuestas en servicios remotos. Una vez dentro, los atacantes despliegan mineros, conectando los equipos infectados a pools públicos o privados donde se orquestan las operaciones de minería. Akamai detalla cómo estas topologías y ciertas políticas de los pools pueden ser, a su vez, el talón de Aquiles de los atacantes.

#### Detalles Técnicos

Las dos técnicas descritas por Akamai explotan tanto la gestión de conexiones en los pools de minería como la validación de los trabajos de minado (shares).

**Primera técnica: Saturación de conexiones y políticas de reemplazo**
Muchos pools de minería, para optimizar recursos, imponen límites al número de conexiones simultáneas desde una misma IP o dirección de wallet. Akamai demostró que es posible forzar la desconexión de los bots de una botnet ejecutando conexiones masivas desde hosts controlados hacia la misma wallet asociada al pool. Al alcanzar el límite impuesto, los bots legítimos del atacante son expulsados, deteniendo temporalmente su capacidad de minado.

**Segunda técnica: Inyección de shares inválidas**
La mayoría de pools implementan políticas contra shares inválidas para prevenir abusos y optimizar el rendimiento. Si un host envía un número elevado de shares incorrectas, el pool puede banear la dirección asociada. Aprovechando esto, los investigadores desarrollaron scripts que simulan mineros, pero que deliberadamente envían shares incorrectas en nombre de la wallet utilizada por la botnet. Esto provoca el baneo temporal o permanente de la dirección, inutilizando de facto la botnet hasta que el operador cambie la wallet y reconfigure los bots.

Ambos métodos se valen de herramientas de scripting personalizadas y pueden automatizarse mediante frameworks tipo Metasploit o Python con librerías específicas de minería (por ejemplo, `python-stratum-mining`). Además, es posible identificar wallets empleadas por botnets analizando los IoC en tráfico saliente, como patrones de conexión a dominios de pools conocidos (por ejemplo, `minexmr.com`, `pool.supportxmr.com`) y direcciones wallet repetidas en grandes volúmenes.

#### Impacto y Riesgos

Según Akamai, estas técnicas pueden reducir el rendimiento de una botnet de minería entre un 60% y un 90%, dependiendo de la persistencia del atacante y la agilidad para cambiar wallets o pools. Si bien no eliminan la botnet en origen, suponen un golpe significativo a la rentabilidad económica de estas operaciones, que en campañas recientes han llegado a generar ingresos ilícitos superiores a los 500.000 dólares mensuales.

No obstante, existe el riesgo de que los atacantes adapten sus TTPs (Tácticas, Técnicas y Procedimientos) —clasificados bajo MITRE ATT&CK como [T1496: Resource Hijacking](https://attack.mitre.org/techniques/T1496/) y [T1583.006: Establish Accounts: Web Services](https://attack.mitre.org/techniques/T1583/006/)—, dispersando wallets o rotando pools con mayor frecuencia para evadir estas contramedidas.

#### Medidas de Mitigación y Recomendaciones

Para los equipos de seguridad, se recomienda:

– Monitorizar tráfico saliente en busca de conexiones a pools de minería conocidos y patrones de uso de wallets sospechosas.
– Implementar listas negras de pools y wallets a nivel de firewall y EDR.
– Actualizar y parchear todos los servicios expuestos, priorizando vulnerabilidades críticas (CVE).
– Colaborar con proveedores de pools para establecer mecanismos de reporte y baneo de wallets asociadas a botnets.
– Desplegar honeypots y sandboxing para identificar intentos de minado ilícito y recolectar IoC.

#### Opinión de Expertos

Expertos del sector, como José María Navarro, CISO de una entidad bancaria, advierten: «La capacidad de desarticular botnets desde el lado del pool es una oportunidad, pero también un riesgo. Si no se gestiona de forma coordinada, podríamos ver ataques de denegación de servicio dirigidos a pools legítimos bajo el pretexto de combatir botnets». Añade que la colaboración transnacional y el intercambio de IoC es clave para incrementar la eficacia de estas técnicas.

#### Implicaciones para Empresas y Usuarios

Para las empresas, la detección temprana y la respuesta rápida frente a la minería no autorizada es esencial para evitar sanciones bajo la GDPR y la futura NIS2, que exige la notificación de incidentes que afecten a la disponibilidad y seguridad de los sistemas. Los usuarios, por su parte, deben mantener buenas prácticas de higiene digital y evitar la descarga de software de fuentes no verificadas.

#### Conclusiones

El aprovechamiento de debilidades en los pools de minería supone una vía prometedora para mitigar el impacto de las botnets de criptominería, aunque no exenta de desafíos técnicos y éticos. Las empresas deben reforzar sus capacidades de detección y colaboración con la comunidad, mientras que los actores maliciosos probablemente evolucionarán sus técnicas en respuesta. La innovación en ciberdefensa sigue siendo crucial en esta carrera sin fin.

(Fuente: feeds.feedburner.com)