Si vous avez passé quelque temps à naviguer sur Internet, vous avez probablement rencontré l'idée de la cryptomonnaie au moins une fois. C'est une étape passionnante dans l'établissement de l'économie numérique mondiale et cela représente à la fois des opportunités et des risques importants.
L'augmentation de la popularité des cryptomonnaies telles que Bitcoin, Monero, Ripple, Shib, et ainsi de suite, a conduit à une augmentation dramatique du nombre de personnes qui cherchent activement à échanger ces monnaies. Quand cela est couplé à des barrières d'entrée plus faibles pour les plateformes de trading, alors beaucoup de gens voient s'essayer à la cryptomonnaie comme une proposition lucrative. En particulier les cybercriminels.
Les cybercriminels utilisent souvent des attaques par fraude pour inciter l'utilisateur à envoyer de la cryptomonnaie au portefeuille de cryptomonnaie de l'attaquant, ou ils peuvent utiliser d'autres techniques telles que les logiciels malveillants, ou les attaques en cours de route pour utiliser les ressources de traitement de la victime à des fins de crypto-minage. Aux yeux des cybercriminels, une machine non sécurisée est exactement la même chose qu'un portefeuille laissé sans surveillance dans une boîte de nuit.
Heureusement, si vous êtes client de Cato, nous avons automatiquement des stratégies d'atténuation en place pour vous aider à rester sécurisé.
Il existe une variété de vecteurs pour les attaques en cryptomonnaie, par exemple voler des cryptomonnaies tout comme voler le portefeuille physique de quelqu'un. Cependant, il est aussi possible de miner des cryptomonnaies en utilisant du matériel local. Cela signifie qu'il est possible pour les cybercriminels de compromettre des hôtes et des serveurs dans votre compte et de les utiliser pour miner des cryptomonnaies. Cela engendre un impact significatif sur les performances de ces ressources, et accroît les bénéfices des cybercriminels.
Le Cloud Cato utilise plusieurs approches différentes pour protéger votre compte contre les attaques de cryptomonnaie, commençons à explorer les options.
Chaque fois qu'un crypto-mineur tente d'utiliser les ressources du système pour générer une monnaie, le logiciel doit contacter un pool, ou valider l'effort de travail contre la chaîne de blocs. Une fois que la preuve de complétion a été soumise, une pièce (ou plus probablement un fragment de celle-ci) est émise au portefeuille associé. Cela amène les machines à fonctionner à presque 100 % de leur CPU et GPU presque constamment, impactant l'expérience numérique de vos utilisateurs et augmentant les coûts opérationnels pour votre entreprise.
Le service IPS de Cato atténue et bloque automatiquement la transmission et la communication de ce type de trafic, en utilisant une analyse avancée des menaces qui est continuellement mise à jour. L'équipe de sécurité de Cato crée des signatures IPS dédiées pour détecter les protocoles de minage tels que Stratum et aussi pour les mineurs connus tels que XMRig et XMR-Stak. De plus, il y a aussi des signatures IPS dédiées et des heuristiques pour les logiciels malveillants de cryptomonnaie connus, pour aider à atténuer tout impact potentiel qu'il pourrait y avoir sur vos opérations commerciales.
Cato maintient, surveille et fait évoluer en permanence le moteur IPS, ainsi vous pouvez être tranquille en sachant que le Cloud Cato est toujours à jour avec les dernières protections.
Dans le cadre du service IPS de Cato, nous utilisons des flux de renseignement sur les menaces dédiés aux cryptomonnaies, ce qui aide à détecter les pools de minage et les domaines malveillants associés à des attaques de cryptomonnaie et des logiciels malveillants connus. De plus, nous avons créé notre propre flux de renseignement sur les menaces pour détecter et bloquer les activités de cryptomonnaie (quelle que soit le type de protocole).
Cato exploite également notre réseau global, surveillant des billions de flux de réseau pour les activités de minage à travers tous nos réseaux clients. Si nous observons et bloquons une menace potentielle pour l'un de nos clients, la même protection est appliquée à tous les clients.
Imaginez un monde où vous avez mis à jour les bases de données du moteur IPS sur votre réseau, corrigé tous vos pare-feu et inspecté chaque répertoire sur vos serveurs. Pourtant - vos utilisateurs signalent toujours que le réseau est 'lent', et les tickets s'accumulent dans votre file d'attente d'assistance. Que faites-vous ? Naturellement, vous commencez par les captures de paquets, vous examinez les métriques de performance de l'application. Ensuite, vous exécutez un traceroute sur le réseau, et tout semble fonctionner correctement. Lentement, cela vous frappe, et la panique s'installe. Ce n'est pas un problème de réseau, c'est un problème d'hôte.
Vos dispositifs terminaux sont la plus vaste surface d'attaque pour les entreprises, et il est assez simple d'infecter un dispositif avec un logiciel malveillant, surtout s'ils exploitent des technologies comme WebAssembly. Cela est souvent utilisé par les attaquants pour effectuer du minage de cryptomonnaie en utilisant les ressources de traitement de la victime. Mais à la différence des logiciels malveillants 'traditionnels', il est possible d'exécuter l'attaque sans télécharger de fichier.
Imaginez que votre utilisateur ouvre son navigateur et établit une session légitime sur un site web. Il navigue normalement, mais sa machine ralentit (et les ventilateurs de l'ordinateur portable tournent à 100 %). Que s'est-il passé ? Eh bien, cet utilisateur a peut-être accédé à un site web qui charge du code de minage de cryptomonnaie. Oh non, votre réseau est maintenant exposé et potentiellement infecté.
Cato gère de telles menaces en scannant les fichiers WebAssembly (et tous les autres types de fichiers) avec les moteurs Anti-Malware, et détecte les fichiers malveillants avant qu'ils n'atteignent vos dispositifs terminaux. En utilisant une combinaison de nos flux de renseignement sur les menaces et une analyse heuristique, nous pouvons bloquer ces types d'attaques.
La colonne vertébrale globale de Cato fournit une couverture pour la distribution nord/sud et est/ouest de code potentiellement malveillant. Elle assure que chaque utilisateur, site, branche et présence dans le cloud soit également protégé et ne nécessite pas que vous déployiez des correctifs ou des mises à niveau.
Le service de Détection et de Réponse aux Menaces Géré (MDR) de Cato surveille les incidents de sécurité et les vulnérabilités sur l'ensemble de votre réseau. MDR utilise toutes les techniques ci-dessus pour détecter les attaques de cryptomonnaie (ainsi que tout autre incident de sécurité pouvant survenir sur votre réseau) Si un problème est détecté, alors vous êtes protégé et serez informé de l'impact sur les ressources de votre réseau.
Voici quelques scénarios exemplaires où MDR vous aide à suivre les problèmes de cryptomonnaie :
-
Communication périodique identifiée vers des domaines de cryptomonnaie avec des clients inconnus
-
Trafic JSON-RPC périodique observé associé à des activités de minage de cryptomonnaie
-
Tentatives de téléchargement suspectes de WebAssembly depuis des domaines de faible popularité.
Si des événements de cryptomonnaie sont jamais identifiés sur votre réseau, vous pouvez facilement passer en revue les événements dans Accueil > Événements incluant :
-
Heure de l'événement
-
Un descripteur du Nom de la Menace
-
ID de Signature
-
Type de Menace
-
Action
-
IP Source/Destination
-
Nom du Site Source
-
Direction du Trafic
En utilisant cette information, vous pouvez facilement localiser qui, quoi, où et quand votre incident de cryptomonnaie s'est produit. Cela fournit une ligne de vue claire pour identifier quelles machines tentent de réaliser des actions en cryptomonnaie dans votre environnement d'entreprise.
Développez l'événement pour montrer plus d'informations sur l'incident. Ci-dessous un exemple d'un événement de minage de cryptomonnaie :
0 commentaire
Vous devez vous connecter pour laisser un commentaire.