En la entrega final de su serie Anatomía de los Criptomineros, investigadores de Akamai presentaron una técnica capaz de desactivar operaciones maliciosas de criptominería sin necesidad de intervención externa. A través de un método llamado bad shares, se logró desarticular una red de minería que operaba desde hace más de seis años, eliminando su capacidad de procesamiento y sus ingresos de manera inmediata.

Maor Dahan, investigador senior de Akamai y autor del estudio, explicó que la criptominería maliciosa suele operar a través de bots que se conectan a pools de minería o proxies diseñados para ocultar la identidad del atacante. En este contexto, los bad shares actúan como cálculos inválidos enviados intencionalmente al pool, provocando que el servidor bloquee al minero (o en este caso, al proxy o wallet del atacante) según las políticas estándar de penalización por tráfico fraudulento.

Utilizando sólo una laptop y la herramienta XMRogue, desarrollada por Akamai, se logró reducir de 3.3 millones a cero el hashrate de una botnet basada en Monero. Esto frustró ingresos anuales estimados en 26 mil dólares. XMRogue actúa infiltrándose como una “víctima señuelo” en la red maliciosa y generando shares defectuosos con precisión quirúrgica, evadiendo los filtros del software de minería para que sean reenviados y baneados efectivamente.

El estudio también demostró cómo, en campañas donde las máquinas infectadas se conectan directamente a pools públicos, es posible sabotear al atacante mediante la saturación de conexiones activas usando su dirección de wallet, forzando al pool a bloquearla temporalmente.

Esta técnica representa un alto para los operadores de botnets de criptominería, ya que obliga a reconstruir toda su infraestructura si desean continuar operando. En contraste, los mineros legítimos pueden recuperarse con facilidad al cambiar sus parámetros de conexión.