El 6 de junio, el periodista de Forbes Kashmir Hill escribió sobre un investigador de la NSF que utilizó indebidamente recursos de supercomputación financiados por la NSF para minar Bitcoin por valor de entre 8.000 y 10.000 dólares. El artículo señala a un estudiante del Imperial College de Londres y a un investigador de la Universidad de Harvard que también habrían utilizado los ordenadores de sus universidades para minar una moneda virtual similar llamada Dogecoin.
Como CISO, su primera reacción podría ser que los usos inapropiados de los recursos de su organización deben ser detenidos, pero esto probablemente no es su mayor prioridad. Que alguien utilice tus ordenadores y tu red para minar moneda virtual es un poco como si alguien cargara su coche eléctrico desde una toma de corriente de tu casa. Sí, están utilizando tu electricidad sin permiso ni reembolso. Sin embargo, no están robando algo de gran valor y amenazando tu vida o tu sustento. Aun así, es algo que probablemente queramos saber y detener si podemos.
La minería de moneda virtual no es detectada por los productos de seguridad habituales
Los productos de seguridad típicos utilizados por las organizaciones no detectan actividades ilícitas como la minería de monedas virtuales. Los ordenadores que minan monedas virtuales como Bitcoin o Dogecoin se comunican a través del puerto 80, que los cortafuegos están configurados para permitir el paso. Si una organización utiliza un sistema de prevención de intrusiones (IPS), esos dispositivos pueden utilizar firmas para detectar la minería de monedas virtuales. Sin embargo, no todas las organizaciones utilizan un IPS y no todas las firmas están siempre activadas. Dado que hay miles de firmas, los equipos de seguridad las gestionan y priorizan en función del riesgo empresarial para garantizar el rendimiento del IPS. Así que, aunque tenga un IPS en sus defensas perimetrales, puede que no esté configurado para encontrar y detener la moneda virtual.
Esto lleva a preguntarse si la detección de la minería de moneda virtual es importante en absoluto. Antes de responder, es importante recordar que ganar mucho dinero con la minería de moneda virtual requiere una gran cantidad de ciclos de computación. Para conseguir estos ciclos, la persona que dirige el proceso de minería puede recurrir a un bot herder que controle miles de ordenadores infectados a través de una red de bots.
¿Qué hacer si descubre actividades de minería de criptomonedas?
Si encuentra un ordenador en su organización minando una moneda virtual, o bien el propietario de la máquina instaló el software de minería o el software se instaló sin su conocimiento. Si se trata de lo primero, entonces debe preocuparse de qué otras actividades no autorizadas está realizando el empleado con el ordenador. Si es lo segundo, entonces podría haber otros dispositivos infectados en su organización bajo el control de un bot herder. Estos ordenadores infectados podrían utilizarse hoy para la minería de moneda virtual, pero mañana podrían utilizarse para un ataque DDoS a un motor de búsqueda popular que podría provocar que su dirección IP se incluyera en una lista negra. En la economía de los atacantes, las redes de bots son la computación cloud original, salvo que el pastor de bots no paga por los ordenadores ni por la red que alquila.
Nuestras plataformas de la serie X han detectado la minería de Bitcoin y otras monedas virtuales en redes y el proceso de pensamiento anterior es uno de los que hemos visto experimentar a los clientes. Los clientes utilizan nuestro producto para aumentar las defensas perimetrales, como cortafuegos e IPS, con el fin de identificar malware y ataques selectivos que han eludido el perímetro o que se han introducido por la puerta principal en portátiles que se utilizan fuera del cortafuegos de la empresa.
Volviendo a la cuestión de si es importante detectar la minería de Bitcoin, no tener seguridad que pueda detectar la minería de moneda virtual es un indicador de que sus defensas pueden no estar preparadas para detectar un ataque dirigido. Es importante contar con sistemas de seguridad que detecten todos los comportamientos maliciosos y los notifiquen de manera que le permitan encontrar señales entre el ruido, clasificar rápidamente y priorizar sus recursos finitos en los riesgos más elevados.
Para obtener más información sobre cómo Vectra Networks ayuda a los clientes a detectar y clasificar rápidamente las amenazas y los ataques que eluden las defensas perimetrales, vea a Sam Kamran, CISO de Riverbed hablar sobre su experiencia. Para saber más sobre cómo funciona Vectra , vea una demostración de 2 minutos.