Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo detectar y bloquear criptomineros en su red

[28/11/2021] Un amigo viajó recientemente a Islandia y regresó sabiendo que el país es un centro clave para la minería de Bitcoin debido a su fuente de energía térmica barata. Su computadora o las computadoras de su red también podrían ser un lugar ideal para la criptominería. Sé de personas que fueron descubiertas ejecutando software de criptominería en las máquinas de los clientes, violando las prácticas de la empresa.

La criptominería es el proceso de creación de unidades de criptomonedas. Muchas de las criptomonedas populares son problemas matemáticos que crean unidades monetarias. Los ciclos de CPU se convierten en dinero. Este proceso es legal, pero la criptominería criminal utiliza la potencia y los ciclos de CPU de las máquinas que secuestran para ganar dinero.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

El cryptojacking ocurre cuando un actor malintencionado se apropia de sistemas a través de servidores web y navegadores web. El JavaScript malicioso generalmente se inyecta o instala en servidores web para que, cuando los usuarios visiten una página web, sus navegadores se infecten, convirtiendo sus computadoras en criptomineros.

¿Puede detectar y protegerse de esta actividad? Absolutamente. Comencemos con las formas más pasivas de detectar criptomineros en su red.

[¿Qué es el cryptojacking? Cómo evitarlo, detectarlo y recuperarse de él]

Supervisar el rendimiento de la red

Primero, revise el desempeño de los sistemas en su red. Los usuarios finales pueden notar un uso excesivo de la CPU, cambios de temperatura o velocidades de ventilador más rápidas y notificarlos a TI. Esto puede ser un síntoma de aplicaciones comerciales codificadas incorrectamente, pero también puede indicar malware oculto en los sistemas. Establezca líneas de base de sus sistemas para detectar mejor las anomalías en sus sistemas.

No confíe únicamente en las anomalías de rendimiento para identificar los sistemas afectados. Los incidentes recientes han demostrado que los atacantes están limitando la demanda de CPU en los sistemas para ocultar su impacto. Por ejemplo, un reciente Informe de defensa digital de Microsoft señaló las actividades de BISMUTH, el grupo de amenazas vietnamita, que apuntaba al sector privado, así como a las instituciones del gobierno francés y vietnamita. "Debido a que los sistemas de seguridad tienden a considerar a los mineros de criptomonedas como amenazas de menor prioridad, BISMUTH pudo aprovechar el perfil de alerta más pequeño causado por su malware para deslizarse en los sistemas sin ser detectado. Como señaló Microsoft en una publicación de blog, BISMUTH evitó la detección "mezclándose con la actividad normal de la red.

Revise los registros de conexiones no autorizadas

¿Cómo se detectan actores maliciosos tan sigilosos además de una computadora que se porta mal? Revise los registros de su firewall y proxy para ver las conexiones que están haciendo. Preferiblemente, debe saber exactamente a qué ubicaciones y direcciones de Internet están autorizadas a conectarse los recursos de la empresa. Si este proceso es demasiado engorroso, al menos revise los registros del firewall y bloquee las ubicaciones conocidas de criptomineros.

Una publicación reciente del blog de Nextron indica los grupos típicos de criptominería que han visto en uso. Puede revisar el firewall o los servidores DNS para ver si se ve afectado. Revise sus registros en busca de patrones que incluyan *xmr.* *pool.com *pool.org y pool.* para ver si alguien o algo está haciendo un mal uso de su red. Si tiene una red que es muy sensible, limite las conexiones solo a las ubicaciones y direcciones IP que se necesitan para su red. En esta era de la computación en la nube, esto puede ser difícil de determinar. Incluso seguir las direcciones IP que utiliza Microsoft puede ser difícil de seguir. Por ejemplo, es posible que deba ajustar la lista de direcciones IP autorizadas cuando Microsoft agregue nuevos rangos para sus centros de datos de Azure.

Utilice extensiones de navegador que bloqueen criptomineros

Algunas extensiones de navegador supervisarán y bloquearán a los criptomineros. Las soluciones como No Coin y MinerBlocker, por ejemplo, monitorean actividades sospechosas y bloquean ataques. Ambas tienen extensiones disponibles para Chrome, Opera y Firefox. Alternativamente, puede bloquear la ejecución de JavaScript en su navegador, ya que las aplicaciones JavaScript maliciosas se entregan a través de anuncios publicitarios y otras técnicas de manipulación de páginas web. Investigue si se puede bloquear JavaScript en su organización, ya que puede tener un impacto perjudicial en algunas páginas web que necesita por motivos comerciales.

Considere el modo Super-Duper Secure Mode de Edge

Edge está probando lo que Microsoft llama Super-Duper Secure Mode. Mejora la seguridad de Edge al deshabilitar la compilación Just-In-Time (JIT) en el motor JavaScript V8. Microsoft afirma que los errores en JavaScript dentro de los navegadores modernos son el vector más común para los atacantes. Los datos de CVE del 2019 muestran que aproximadamente el 45% de los ataques en V8 se relacionan con JIT.

La desactivación de la compilación JIT afecta el rendimiento, y las pruebas realizadas por Microsoft Browser Vulnerability Research mostraron algunas regresiones. Los puntos de referencia de JavaScript, como Speedometer 2.0, mostraron una disminución significativa de hasta 58%. A pesar de eso, Microsoft afirma que los usuarios no notan la disminución del rendimiento porque ese punto de referencia "cuenta solo una parte de una historia más amplia y los usuarios rara vez notan una diferencia en su uso diario.

Observe la minería de criptomonedas desde el punto de vista de las amenazas internas y externas. Su red o, si es un proveedor de servicios gestionados, las redes de sus clientes pueden ser una tentación que los usuarios internos -que desean extraer criptomonedas- no querrán resistir. Revise sus opciones para protegerse proactivamente de posibles ataques.

Basado en el artículo de Susan Bradley (CSO) y editado por CIO Perú