Criptomoedas e a Nuvem da Cato

O Problema com as Criptomoedas

Se você passou algum tempo navegando na Internet, é provável que tenha encontrado a ideia de criptomoedas pelo menos uma vez. Este é um passo empolgante na criação da economia digital mundial e apresenta tanto oportunidades significativas quanto riscos.

O aumento da popularidade de criptomoedas como Bitcoin, Monero, Ripple, Shib, e assim por diante, levou a um aumento dramático no número de pessoas que estão buscando ativamente negociar essas moedas. Quando isso é combinado com barreiras de entrada mais baixas para as plataformas de negociação, muitas pessoas veem a experimentação com criptomoedas como uma proposta lucrativa. Especialmente os cibercriminosos.

Os cibercriminosos frequentemente usam ataques de fraude para enganar o usuário a enviar criptomoedas para a carteira de criptomoedas do atacante, ou podem usar outras técnicas como malware ou ataques de 'drive-by' para usar os recursos de processamento da vítima para fins de mineração de criptomoedas. Aos olhos dos cibercriminosos, uma máquina não segura é exatamente o mesmo que uma carteira deixada sem supervisão em uma boate.

Felizmente, se você é um cliente da Cato, temos automaticamente estratégias de mitigação em vigor para ajudar a manter sua segurança.

Solução Cripto da Cato

Existem uma variedade de vetores para ataques de criptomoedas, por exemplo, roubar moedas digitais assim como roubar a carteira física de alguém. No entanto, também é possível minerar moedas digitais usando hardware local. Isso significa que é possível que os cibercriminosos comprometam anfitriões e servidores em sua conta e os usem para minerar moedas digitais. Isso causa um impacto significativo no desempenho desses recursos e aumenta os lucros dos cibercriminosos.

A Nuvem da Cato utiliza várias abordagens diferentes para proteger sua conta contra ataques de criptomoedas, vamos começar a explorar as opções.

Assinaturas de IPS

Sempre que um minerador de criptomoedas tenta utilizar recursos do sistema para gerar uma moeda, o software deve contatar um pool ou validar o esforço de trabalho no blockchain. Uma vez que a prova de conclusão tenha sido enviada, uma moeda (ou mais provavelmente um fragmento dela) é emitida para a carteira associada. Isso leva as máquinas a operarem em quase 100% de CPU e GPU quase constantemente, impactando a experiência digital dos seus usuários e aumentando os custos operacionais para sua empresa.

O serviço de IPS da Cato automaticamente mitiga e bloqueia a transmissão e comunicação desse tipo de tráfego, usando análise avançada de ameaças que é continuamente atualizada. A equipe de Segurança da Cato cria assinaturas de IPS dedicadas para detectar protocolos de mineração como Stratum e também para mineradores conhecidos como XMRig e XMR-Stak. Além disso, também existem assinaturas de IPS e heurísticas dedicadas para malware de criptomoedas conhecido, ajudando a mitigar qualquer impacto potencial que possa haver nas operações do seu negócio.

A Cato está constantemente mantendo, monitorando e evoluindo o motor de IPS, para que você possa relaxar sabendo que a Nuvem da Cato está sempre atualizada com as proteções mais recentes.

Feeds de Inteligência de Ameaças

Como parte do serviço de IPS da Cato, usamos feeds de inteligência de ameaças dedicados para criptomoedas, que ajudam a detectar pools de mineração e domínios maliciosos associados a ataques de criptomoedas conhecidos e malware. Além disso, criamos nosso próprio feed de inteligência de ameaças para detectar e bloquear atividades de criptomoedas (independentemente do tipo de protocolo).

A Cato também aproveita nossa espinha dorsal global, monitorando trilhões de fluxos de rede para atividades de mineração em todos os nossos clientes. Se observamos e bloqueamos uma ameaça potencial para um de nossos clientes, a mesma proteção é aplicada a todos os clientes.

Proteções Anti-Malware

Imagine um mundo onde você tenha atualizado os bancos de dados do motor de IPS na sua rede, corrigido todos os seus firewalls e vasculhado cada diretório em seus servidores. Ainda assim - seus usuários ainda estão relatando que a rede está 'lenta', e os tickets estão se acumulando na fila do seu serviço de atendimento. O que você faz? Naturalmente, você começa com captura de pacotes, observa as métricas de throughput da aplicação. Em seguida, você executa um rastreamento de rota na rede, e tudo parece estar ótimo. Lentamente, você percebe, e a tensão começa a aparecer. Não é um problema de rede, é um problema do anfitrião.

Seus dispositivos endpoint são a superfície de ataque mais ampla para as corporações, e é bastante simples infectar um dispositivo com malware, especialmente se eles utilizarem tecnologias como WebAssembly. Isso é frequentemente usado por atacantes para realizar mineração de criptomoedas utilizando os recursos de processamento da vítima. Mas, ao contrário de malware 'tradicional', é possível executar o ataque sem baixar um arquivo.

Imagine seu usuário abre o navegador e estabelece uma sessão legítima em um website. Eles estão navegando normalmente, mas a máquina está ficando lenta (e os ventiladores do laptop girando a 100%). O que aconteceu? Bem, esse usuário pode ter acessado um website que carrega um código de mineração de criptomoedas. Ops, sua rede agora está exposta e potencialmente infectada.

A Cato lida com essas ameaças escaneando arquivos WebAssembly (e todos os outros tipos de arquivos) com os motores Anti-Malware, e detecta arquivos maliciosos antes que eles realmente alcancem seus dispositivos endpoint. Usando uma combinação de nossos feeds de inteligência de ameaças e análise heurística, podemos bloquear esses tipos de ataques.

A espinha dorsal global da Cato proporciona cobertura para a distribuição norte/sul e leste/oeste de código potencialmente malicioso. Ela garante que cada usuário, local, filial e presença na nuvem estejam igualmente protegidos e não requer que você implemente patches ou atualizações.

Serviço de MDR da Cato

O serviço de Detecção e Resposta a Ameaças Gerenciado da Cato (MDR) monitora incidentes de segurança e vulnerabilidades em toda a sua rede. O MDR usa todas as técnicas acima para detectar ataques de criptomoedas (bem como qualquer outro incidente de segurança que possa surgir na sua rede.) Se um problema for detectado, então você está protegido e será informado sobre o impacto nos recursos da sua rede.

Aqui estão alguns cenários de exemplo onde MDR ajuda você a rastrear problemas de criptomoeda:

  • Comunicação periódica identificada em domínios de criptomoeda com clientes desconhecidos

  • Tráfego periódico JSON-RPC observado associado a atividades de mineração de criptomoeda

  • Tentativas suspeitas de download de WebAssembly de domínios de baixa popularidade.

Como se parece um evento de criptomoeda?

Se eventos de criptomoeda forem identificados na sua rede, você pode facilmente revisar os eventos em Inicial > Eventos, incluindo:

  • Hora do evento

  • Um descritor do Nome da Ameaça

  • ID da Assinatura

  • Tipo de Ameaça

  • Ação

  • IP de Origem/Destino

  • Nome do Site de Origem

  • Direção do tráfego

Usando estas informações, você pode facilmente identificar quem, o quê, onde e quando ocorreu seu incidente de criptomoeda. Isso fornece uma linha de visão clara para identificar quais máquinas estão tentando realizar ações de criptografia em seu ambiente corporativo.

mceclip0.png

Expanda o evento para mostrar mais informações sobre o incidente. A seguir está um exemplo de um evento de mineração de criptomoeda:

mceclip1.png

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 1

0 comentário