L'Interpol ha collaborato con la società di sicurezza informatica Trend Micro per debellare il software di cryptojacking che aveva colpito i router MikroTik in tutto il Sud-est asiatico. Sebbene questa partnership abbia ridotto del 78% il numero di dispositivi colpiti, è improbabile che questa iniziativa abbia avuto un effetto significativo sull'hashrate complessivo.

Il termine "cryptojacking" indica la pratica in cui un assalitore infetta dispositivi di uso comune con un malware per il mining di criptovalute, sfruttando la potenza di calcolo e l'energia elettrica della vittima per generare profitti. Trend Micro ha collaborato con la divisione Global Complex for Innovation dell'Interpol, con sede a Singapore, per rimuovere questa tipologia di malware dai router MikroTik infetti.

Nell'ambito dell'operazione "Goldfish Alpha", Trend Micro ha redatto un documento dal titolo "Ridurre e prevenire il cryptojacking", all'interno del quale l'azienda descrive come una singola vulnerabilità presente in una tipologia di router molto comune, utilizzata sia a livello domestico che aziendale, abbia permesso al malware di infettare migliaia di dispositivi nel Sud-est asiatico. Il resoconto sottolinea che le vittime possono utilizzare il software di Trend Micro per rilevare ed eliminare il malware.

Nei cinque mesi successivi alla pubblicazione del documento, avvenuta a giugno dello scorso anno, gli esperti del Computer Emergency Response Teams e della polizia sono riusciti ad identificare e ripristinare oltre 20.000 router infetti.

Quanto hanno guadagnato gli hacker?

La vulnerabilità è presente in tutti i router MikroTik basati sul sistema operativo proprietario RouterOS.

Trend Micro spiega che gli assalitori hanno utilizzato i processori ARM presenti in questi dispositivi per generare Monero (XMR), una delle poche criptovalute che può ancora essere ragionevolmente minata con una normale CPU, specialmente in seguito all'aggiornamento RandomX che ha reso il network più resistente agli ASIC.

Sebbene i valori dell'hashrate varino notevolmente in base alla tipologia di processore ARM, i benchmark condotti dalla comunità di Monero stimano una media di 300 hash al secondo per i processori più comuni.

Con circa 20.000 dispositivi infetti, si stima che gli hacker abbiano mediamente generato un profitto di ben 13.000$ al mese. Bisogna tuttavia sottolineare che la redditività del mining di Monero è cambiata parecchio negli ultimi due anni, specialmente dopo l'introduzione di RandomX, e pertanto tali stime potrebbero essere imprecise.