Criptomoneda y la Nube Cato

El Problema con las Criptomonedas

Si has pasado algún tiempo navegando por Internet, es probable que te hayas encontrado con la idea de criptomoneda al menos una vez. Este es un paso emocionante en el establecimiento de la economía digital mundial y representa tanto oportunidades significativas como riesgos.

El aumento en la popularidad de criptomonedas como Bitcoin, Monero, Ripple, Shib, etc., ha llevado a un incremento dramático en el número de personas que buscan activamente comerciar con estas monedas. Cuando esto se combina con menores barreras de entrada para las plataformas de comercio, muchas personas ven que incursionar en la criptomoneda es visto como una propuesta lucrativa. Especialmente los cibercriminales.

Los cibercriminales a menudo utilizan ataques de fraude para engañar al usuario a enviar criptomonedas a la cartera de criptomonedas del atacante, o pueden usar otras técnicas como malware o ataques de 'drive-by' para utilizar los recursos de procesamiento de la víctima con fines de minería de criptomonedas. A los ojos de los cibercriminales, una máquina no segura es exactamente lo mismo que una cartera dejada sin vigilancia en un club nocturno.

Afortunadamente, si eres cliente de Cato, automáticamente tenemos estrategias de mitigación implementadas para ayudarte a mantenerte seguro.

Solución Cripto de Cato

Existen una variedad de vectores para los ataques de criptomonedas, por ejemplo, robar criptomonedas al igual que robar la cartera física de alguien. Sin embargo, también es posible minar criptomonedas utilizando hardware local. Esto significa que es posible que los cibercriminales comprometan hosts y servidores en tu cuenta y los usen para minar criptomonedas. Esto causa un impacto significativo en el rendimiento de estos recursos y aumenta las ganancias de los cibercriminales.

La Nube Cato utiliza varios enfoques diferentes para proteger tu cuenta de los ataques de criptomonedas, comencemos a explorar las opciones.

Firmas IPS

Siempre que un cripto-minero intenta utilizar recursos del sistema para generar una moneda, el software debe contactar con un pool, o validar el esfuerzo de trabajo contra la cadena de bloques. Una vez que se ha enviado la prueba de finalización, se emite una moneda (o más probablemente un fragmento de ella) a la cartera asociada. Esto lleva a que las máquinas funcionen a casi el 100% de CPU y GPU casi constantemente, impactando la experiencia digital de tus usuarios y aumentando los costos operativos para tu empresa.

El servicio IPS de Cato mitiga y bloquea automáticamente la transmisión y comunicación de este tipo de tráfico, utilizando un análisis avanzado de amenazas que se actualiza continuamente. El equipo de Seguridad de Cato crea firmas IPS dedicadas para detectar protocolos de minería como Stratum y también para mineros conocidos como XMRig y XMR-Stak. Además, también hay firmas IPS dedicadas y heurísticas para malware de criptomonedas conocido, para ayudar a mitigar cualquier impacto potencial que pueda haber en las operaciones de tu empresa.

Cato está continuamente manteniendo, monitoreando y evolucionando el motor IPS, para que puedas relajarte sabiendo que la Nube Cato siempre está actualizada con las últimas protecciones.

Feeds de Inteligencia de Amenazas

Como parte del servicio IPS de Cato, utilizamos feeds de inteligencia de amenazas dedicados para criptomonedas, que ayudan a detectar pools de minería y dominios maliciosos asociados con ataques de criptomonedas conocidos y malware. Además, creamos nuestro propio feed de inteligencia de amenazas para detectar y bloquear actividad de criptomonedas (independientemente del tipo de protocolo).

Cato también aprovecha nuestra red global, monitoreando billones de flujos de red para actividades de minería a través de todas nuestras redes de clientes. Si observamos y bloqueamos una amenaza potencial para uno de nuestros clientes, la misma protección se aplica a todos los clientes.

Protecciones Anti-Malware

Imagina un mundo donde has actualizado las bases de datos del motor IPS en tu red, parcheado todos tus firewalls y examinado cada directorio en tus servidores. Aún así, tus usuarios todavía informan que la red está 'lenta' y los tickets se están acumulando en tu cola de ayuda. ¿Qué haces? Naturalmente, comienzas con capturas de paquetes, miras las métricas de rendimiento de la aplicación. Luego ejecutas un traceroute sobre la red, y todo parece estar bien. Poco a poco te das cuenta, y el pánico se instala. No es un problema de red, es un problema de host.

Tus dispositivos endpoint son la mayor superficie de ataque para las corporaciones, y es bastante simple infectar un dispositivo con malware, especialmente si utilizan tecnología como WebAssembly. Esto es a menudo utilizado por atacantes para realizar minería de criptomonedas utilizando los recursos de procesamiento de la víctima. Pero a diferencia del malware 'tradicional', es posible ejecutar el ataque sin descargar un archivo.

Imagina que tu usuario abre su navegador y establece una sesión legítima en un sitio web. Está navegando de manera normal, pero su máquina se está desacelerando (y los ventiladores de la laptop están funcionando al 100%). ¿Qué sucedió? Bueno, es posible que este usuario haya accedido a un sitio web que carga código de minería de criptomonedas. Ups, tu red ahora está expuesta y potencialmente infectada.

Cato maneja tales amenazas escaneando archivos de WebAssembly (y todos los demás tipos de archivos) con los motores Anti-Malware, y detecta archivos maliciosos antes de que lleguen a tus dispositivos endpoint. Usando una combinación de nuestros feeds de inteligencia de amenazas y análisis heurístico, podemos bloquear estos tipos de ataques.

La columna vertebral global de Cato proporciona cobertura para la distribución norte/sur y este/oeste de código potencialmente malicioso. Asegura que cada usuario, sitio, sucursal y presencia en la nube estén igualmente protegidos y no requiere que implementes ningún parche o actualización.

Servicio MDR de Cato

El servicio de Gestión de Detección y Respuesta de Amenazas (MDR) de Cato monitorea incidentes de seguridad y vulnerabilidades a lo largo de tu red. MDR utiliza todas las técnicas anteriores para detectar ataques de criptomonedas (así como cualquier otro incidente de seguridad que pueda surgir en tu red) Si se detecta un problema, entonces estás protegido y serás informado sobre el impacto en los recursos de tu red.

Aquí hay algunos escenarios de ejemplo donde MDR te ayuda a rastrear problemas de criptomonedas:

  • Comunicación periódica identificada hacia dominios de criptomonedas con clientes desconocidos

  • Tráfico JSON-RPC periódico observado asociado con actividades de minería de criptomonedas

  • Intentos sospechosos de descarga de WebAssembly desde dominios de baja popularidad.

¿Cómo se ve un Evento de Criptomoneda?

Si se identifican eventos de criptomonedas en tu red, puedes revisar fácilmente los eventos en Inicio > Events incluyendo:

  • Hora del evento

  • Un descriptor del Nombre de la Amenaza

  • ID de Firma

  • Tipo de Amenaza

  • Acción

  • IP de Origen/Destino

  • Nombre del Site de Origen

  • Dirección del Tráfico

Usando esta información, puedes fácilmente identificar quién, qué, dónde y cuándo ocurrió tu incidente de criptomoneda. Esto proporciona una línea de visión clara para identificar qué máquinas están intentando realizar acciones de criptomonedas dentro de tu entorno corporativo.

mceclip0.png

Expande el evento para mostrar más información sobre el incidente. A continuación se muestra un ejemplo de un evento de minería de criptomonedas:

mceclip1.png

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 1

0 comentarios