Minería de criptomonedas

Una criptomoneda es un activo digital que utiliza criptografía segura para gestionar la seguridad de las transacciones financieras, como los bitcoins. Las criptomonedas no utilizan monedas digitales centralizadas ni sistemas bancarios.

En lugar de robar credenciales o datos personales, los programas maliciosos orientados a las criptomonedas toman el control de los recursos del sistema y minan en busca de criptomonedas. A lo largo de los últimos años, los ataques de este tipo se producen cada vez con más frecuencia. Los delincuentes atacan puntos finales, servidores, teléfonos inteligentes y otros dispositivos electrónicos para obtener ingresos.

Los ataques de este tipo pueden ir más allá del robo de criptomoneda; IBM® QRadar puede ayudarle a proteger la red frente a problemas derivados de los ataques relacionados con criptomonedas, como las bajadas de rendimiento, el incremento de los costes energéticos y los costes adicionales asociados al servidor en redes basadas en la nube.

Simulación de la amenaza

La simulación Minería de criptomonedas imita un virus troyano oculto en una carga útil de suceso que se recibe desde un origen de registro de Kaspersky Security Center.

Para ver cómo detecta QRadar la amenaza, ejecute la simulación.
  1. En el separador Actividad de registro, pulse Mostrar Experience Center.
  2. Pulse Simulador de amenazas.
  3. Busque la simulación Minería de criptomonedas y pulse Ejecutar.
En el separador Actividad de registro, puede ver los siguientes sucesos entrantes, que se utilizan para simular el caso práctico:
Tabla 1. Sucesos entrantes para el caso práctico Minería de criptomonedas
Contenido Descripción
Sucesos Virus detectado

El origen de registro del suceso entrante tiene un aspecto similar a este ejemplo: Experience Center: KasperskySecurityCenter.

Orígenes de registro Experience Center: WindowsAuthServer @ EC: <machine_name>

Experience Center: WindowsAuthServer @ EC: <user_name>

En el separador Actividad de registro, puede ver los sucesos de Virus detectado que se incorporan en QRadar. Estos sucesos indican que se ha encontrado un virus u otro tipo de programa malicioso en la carga útil de suceso.

Detección de amenazas: QRadar en acción

En esta simulación, el suceso Virus detectado indica que la carga útil de suceso recibida del origen de registro Experience Center: KasperskySecurityCenter contiene un virus. El motor de reglas personalizadas (CRE) procesa el suceso, que activa una regla que crea un nuevo suceso denominado Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center).

Para advertir al usuario sobre la posible amenaza, el CRE crea también un delito denominado Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center). El delito se indexa para agrupar todos los sucesos contribuyentes con el mismo nombre de amenaza en un único delito.

Investigación de la amenaza

El siguiente contenido de IBM QRadar lo crea la simulación de amenaza Minería de criptomonedas. Una vez ejecutada la simulación, puede utilizar este contenido para realizar un seguimiento de la amenaza e investigarla.

Tabla 2. Contenido de QRadar para la simulación Minería de criptomonedas
Contenido Nombre
Búsqueda guardada EC: Minería de criptomonedas
Suceso entrante Virus detectado

El origen de registro del suceso entrante tiene un aspecto similar a este ejemplo: Experience Center: KasperskySecurityCenter.

Regla Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center)
Suceso generado Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center)

El origen de registro para los sucesos generados por QRadar es el motor de reglas personalizadas (CRE).

Delito Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center)

El delito se indexa en función de la propiedad EC: Nombre de amenaza; todos los sucesos que activen esta regla y tengan el mismo nombre de amenaza formarán parte del mismo delito.

En función de los sucesos y reglas que existan en el entorno antes de ejecutar el caso de uso, el nombre del delito puede incluir precedido por <offense name> o que contiene <offense name>.