La explosión en el precio de las criptomonedas generó muchos ganadores y, más recientemente, perdedores después de que los valores se desplomaran repentinamente.

Una forma en que muchos cubren sus apuestas es a través de la minería de criptomonedas, donde los servidores e incluso las computadoras portátiles de los usuarios finales se ponen a trabajar procesando transacciones que son fundamentales para la cadena de bloques.

Si tiene usuarios finales que realizan minería de criptomonedas en el trabajo, están consumiendo recursos y creando una superficie de ataque.

El Instituto SANs publicó un documento técnico, Detección de minería de criptomonedas en entornos corporativos, repleto de consejos prácticos.

“Para realizar minería es necesario instalar un cliente que calcule los bloques y que tenga acceso a Internet. Las herramientas y aplicaciones utilizadas para la minería no están construidas adecuadamente, lo que las hace no confiables. Las herramientas y aplicaciones pueden tener vulnerabilidades que pueden explotarse o tener puertas traseras implementadas por los creadores. La implementación de estas aplicaciones y herramientas en un entorno corporativo podría generar graves impactos en la confidencialidad, integridad y disponibilidad del entorno corporativo. Lo que también es preocupante es que el usuario que configura la minería lo hace para ganar dinero a expensas del entorno empresarial. Como tal, el usuario puede omitir intencionalmente la configuración de seguridad corporativa”, afirmó. explica el documento técnico de SAN.

Me encontré con este problema por primera vez en una discusión en Reddit donde los administradores de sistemas compartían sus experiencias y consejos.

'Recientemente hemos tenido problemas con los empleados de las empresas que administramos al cargar criptomineros en sus computadoras de trabajo. Hemos bloqueado el .exe para los programas que conocemos como LiteCoin Miner y algunos otros, pero ¿alguno de ustedes tiene una solución mejor para detectarlos? preguntó un administrador. Las propinas no faltaron.

1. Bloqueo de puertos

Una protección clave es bloquear los puertos que utiliza la aplicación de minería. 'Bloquee todos los puertos excepto los necesarios desde el firewall, no dé a los usuarios administrador local', dijo. sugirió un administrador.

2. Bloqueo de aplicaciones

También puedes bloquear aplicaciones, como recomendó el primer usuario. 'Hay software de lista blanca y lista negra de aplicaciones para que pueda segmentar lo que se puede instalar y lo que puede ejecutar como administrador', afirmó. aconsejó otro usuario.

Otro usuario profundizó un poco más. 'Puede consultar las políticas de restricción de software y, básicamente, bloquear la ejecución de cualquier aplicación que no esté instalada/administrada por los administradores.

De lo contrario, puede simplemente monitorear los recursos de la computadora para obtener un indicio de una carga inusualmente alta de CPU/GPU”, dijo. recomendó un profesional de TI.

Microsoft AppLocker recibió muchos elogios en este departamento. 'AppLocker ayuda a reducir la sobrecarga administrativa y ayuda a reducir el costo de la organización de administrar los recursos informáticos al disminuir la cantidad de llamadas al servicio de asistencia técnica que resultan de usuarios que ejecutan aplicaciones no aprobadas', afirmó. Microsoft explicó.

Un usuario elogió la solución. 'AppLocker es algo maravilloso'. 'No sólo es una gran línea de defensa contra malware y virus, sino que también ayuda con cosas como mineros y otro software que generalmente no ejecutas en tus máquinas', dijo. dijo un fanático de AppLocker. “Dedique un par de horas a aprender AppLocker. Unos cuantos más desarrollando algunos GP de prueba y pilotaje. Dependiendo del tamaño y tipo de la organización, podría implementarla en 2 semanas y protegerla de una multitud de ataques”.

3. Antivirus

El antivirus es un componente clave de cualquier estrategia de seguridad y es imprescindible para detener a los criptomineros. 'Trabajo en un MSP y nuestra solución AV detecta a los mineros de Bitcoin antes de que se ejecuten, o si se están ejecutando, los bloqueará y eliminará los ejecutables', afirma. dijo un usuario. 'También tenemos monitores para la utilización de la CPU, por lo que si aumenta durante más de una hora fuera del horario laboral, cuando es más probable que el usuario final extraiga recursos para no utilizar sus propios recursos mientras trabaja, recibiremos multas'. '

Este usuario también bloquea aplicaciones. 'Contamos con configuraciones de cumplimiento de aplicaciones que monitorean todas las aplicaciones instaladas y en ejecución en cada computadora y servidor dentro de nuestro entorno; si no está en la lista aprobada, se marca y se genera un ticket'.

AV no es una defensa perfecta. 'El AV tradicional bloqueará una gran cantidad de software de minería, pero no todo'. 'Existe una gran posibilidad de que esto sea detectado por el AV/monitoreo como un evento de seguridad incluso si no estuviera bloqueado', afirmó. dijo un usuario. 'En todos los servidores que monitoreamos el uso de la CPU, si estuvo al 100% durante más de una hora, el NOC lo investigaría'.

SANs está de acuerdo en que los AV son una defensa importante, pero que está lejos de ser perfecta. 'Es muy importante mantener actualizado todo el software antivirus y antimalware. Algunas aplicaciones de minería serán detectadas por el software antivirus, pero ese no es el caso de todas las aplicaciones que se están desarrollando para la minería”, afirmó. dijeron los SAN.

Limitar los privilegios también es fundamental. 'Los privilegios administrativos basados en el host deben limitarse tanto como sea posible. Si un usuario no requiere privilegios administrativos, no se le debe otorgar este acceso. Al limitar el acceso, los usuarios no podrán instalar software (no autorizado) y no podrán realizar minería. Sin embargo, un usuario puede evitar esta limitación realizando un ataque de escalada de privilegios”, afirmó. dijeron los SAN.

4. Protección DNS

El Instituto SANs sugiere un enfoque en profundidad. 'La protección y detección de la minería de criptomonedas debe realizarse en todas las capas del entorno', afirmó. El grupo argumentó. El bloqueo de DNS puede ser clave para 'detener a los mineros criptográficos antes de su lanzamiento'. La inspección de direcciones IP y solicitudes de DNS puede proporcionar pistas; sin embargo, es importante tener en cuenta que las solicitudes de DNS se realizan únicamente al comienzo de una sesión de minería. Según las aplicaciones de minería de redes examinadas, la comunicación entre los clientes y el servidor se produce de forma cíclica, a menudo entre 30 y 100 segundos. Lo primero que ocurre es una solicitud de DNS seguida de una comunicación TCP”, afirmó. SAN dijo

Bloquear dominios es algo que los profesionales de TI hacen hoy en día. 'Bloqueamos dominios recién vistos. Esto previene la mayoría de los tipos de malware porque el software no se instalará en absoluto o no se ejecutará si no puede llegar a su dominio en constante cambio. Realmente esto es de gran ayuda no sólo para la minería de criptomonedas”, afirmó. dijo un lector de Reddit.

5. Monitoreo de sistemas y CPU

'Probablemente la mejor y más efectiva manera de detectar actividades mineras es mediante el monitoreo activo del sistema y el desempeño en tiempo real'.

Los profesionales de TI inteligentes ya están buscando cargas pesadas de CPU. 'Supervisamos el uso y las temperaturas de la CPU'. Si hay una cantidad anormal de uso de la CPU o la temperatura comienza a aumentar más de lo normal, se activa una alerta en nuestro sistema de monitoreo y un técnico accederá remotamente a la computadora para averiguar qué está sucediendo. La mayoría de las veces no se parece en nada a un criptominero, sino más bien a un problema con una aplicación. 'Nos da la capacidad de ser un poco proactivos y diagnosticar problemas un poco antes, incluso comenzar a diagnosticar antes de que los usuarios contacten al servicio de asistencia técnica', afirmó. dijo un visitante de Reddit.

Hay una advertencia. Los primeros mineros criptográficos consumían toda la CPU, lo que la hacía básicamente inútil para el trabajo real y fácil de detectar. Las nuevas herramientas son más personalizables. 'Mientras se escribía este documento, se observaron y probaron aplicaciones que permitían al usuario configurar cuánto trabajo podía realizar la aplicación de minería', afirmó. dijeron los SAN.

Cómo ayuda Pulseway

Pulseway, el único RMM que prioriza los dispositivos móviles, ayuda a bloquear a los criptomineros de varias maneras:

Pulseway monitorea el uso de la CPU y los administradores pueden establecer reglas para notificar si aumenta durante un período de tiempo determinado. Dado que la criptomoneda aumentaría el uso de la CPU a un alto porcentaje, puede configurar una notificación y recibir una alerta cuando la CPU esté alta durante, digamos, 30 minutos.

El antivirus es clave. Kaspersky Anti-Virus de Pulseway detecta cuando intentas abrir un sitio web que ejecuta un script de minería criptográfica. ¡Y bloquea el sitio web!

Finalmente, Pulseway puede usar DNS para bloquear dominios y sitios asociados con la minería.

Obtenga más información sobre la protección DNS y de terminales aquí.