Minería de criptomonedas
Una criptomoneda es un activo digital que utiliza criptografía segura para gestionar la seguridad de las transacciones financieras, como los bitcoins. Las criptomonedas no utilizan monedas digitales centralizadas ni sistemas bancarios.
En lugar de robar credenciales o datos personales, los programas maliciosos orientados a las criptomonedas toman el control de los recursos del sistema y minan en busca de criptomonedas. A lo largo de los últimos años, los ataques de este tipo se producen cada vez con más frecuencia. Los delincuentes atacan puntos finales, servidores, teléfonos inteligentes y otros dispositivos electrónicos para obtener ingresos.
Estos tipos de ataques pueden hacer más que robar la criptomoneda; IBM® QRadar® puede ayudarle a proteger su red de las posteriores ralentizaciones del rendimiento, el aumento de los costes de energía y los costes adicionales del servidor en redes basadas en la nube que pueden causar los ataques de criptomonedas.
Simulación de la amenaza
La simulación Minería de criptomonedas imita un virus troyano oculto en una carga útil de suceso que se recibe desde un origen de registro de Kaspersky Security Center.
- En el separador Actividad de registro, pulse Mostrar Experience Center.
- Pulse Simulador de amenazas.
- Localice la simulación Minería de criptomoneda y pulse Ejecutar.
| Contenido | Descripción |
|---|---|
| Sucesos | Virus encontrado El origen de registro del suceso entrante tiene un aspecto similar a este ejemplo: Experience Center: KasperskySecurityCenter. |
| Orígenes de registro | Experience Center: WindowsAuthServer @ EC: <machine_name> Experience Center: WindowsAuthServer @ EC: <user_name> |
En la pestaña Actividad de registro , puede ver los sucesos Virus found que entran en QRadar. Estos sucesos indican que se ha encontrado un virus u otro tipo de programa malicioso en la carga útil de suceso.
Detección de amenazas: QRadar en acción
En esta simulación, el suceso Virus detectado indica que la carga útil de suceso recibida del origen de registro Experience Center: KasperskySecurityCenter contiene un virus. El motor de reglas personalizadas (CRE) procesa el suceso, que activa una regla que crea un nuevo suceso denominado Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center).
Para advertir al usuario sobre la posible amenaza, el CRE crea también un delito denominado Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center). El delito se indexa para agrupar todos los sucesos contribuyentes con el mismo nombre de amenaza en un único delito.
Investigación de la amenaza
El siguiente contenido de IBM QRadar se crea mediante la simulación de amenazas Minería de criptomoneda . Una vez ejecutada la simulación, puede utilizar este contenido para realizar un seguimiento de la amenaza e investigarla.
| Contenido | Nombre |
|---|---|
| Búsqueda guardada | EC: Minería de criptomonedas |
| Suceso entrante | Virus encontrado El origen de registro del suceso entrante tiene un aspecto similar a este ejemplo: Experience Center: KasperskySecurityCenter. |
| Regla | Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center) |
| Suceso generado | Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center) El origen de registro para sucesos generados por QRadar es el motor de reglas personalizadas (CRE). |
| Delito | Detectada actividad de minería de criptomonedas en base al nombre de amenaza (Exp Center) El delito se indexa en función de la propiedad EC: Nombre de amenaza; todos los sucesos que activen esta regla y tengan el mismo nombre de amenaza formarán parte del mismo delito. En función de los sucesos y reglas que existan en el entorno antes de ejecutar el caso de uso, el nombre del delito puede incluir precedido por <offense name> o que contiene <offense name>. |