加密挖掘恶意软件：在仓库中发现加密货币农场

加密货币每周都成为头条新闻，并迅速成为主流投资和支付方式。在世界各地，从中国到冰岛、伊朗，甚至是空仓库中的纸板箱，网络犯罪分子都在利用称为加密采矿“农场”的数据中心从这一趋势中获利。

加密货币挖矿如何运作？

加密货币是去中心化的数字货币。与可以由中央银行随时发行的传统货币不同，加密货币不受任何中央机构的控制。相反，它依赖于区块链，它充当交易的数字分类账，由点对点网络组织和维护。

矿工通过解决加密算法来创建和保护加密货币。与锤子和凿子不同，加密矿工使用带有 GPU 或 ASIC 的专用计算机来尽快验证交易，并在此过程中赚取加密货币。

加密矿场：收获早期收获

加密采矿会消耗大量能源。剑桥大学的一项分析估计，生成比特币所消耗的能源与整个国家一样多，甚至更多。例如，比特币每年使用大约 137.9 太瓦时，而乌克兰同期仅使用 128.8 太瓦时。比特币只是众多加密货币中的一种，与门罗币和狗狗币并驾齐驱，因此所有加密货币消耗的总能量要高得多。

鉴于高性能采矿计算机需要如此多的处理能力，加密采矿在电力相对便宜的国家是有利可图的。然而，所需的能源可能会导致严重的后果——甚至关闭整个城市。在伊朗，过时的能源网络一直难以为加密货币农场提供服务，导致全市停电。

虽然其中一些加密农场是合法的，但非法的加密矿工也在使伊朗的能源供应紧张。非法加密货币开采在伊朗很流行，部分原因是伊朗货币易波动且易受通货膨胀影响，而加密货币（目前）不受通货膨胀货币政策和美国制裁的影响。当用于非法目的时，加密货币种植可能导致网络中断和严重的财务损失。

企业网络中的加密挖掘恶意软件

加密挖掘恶意软件有能力阻碍甚至破坏组织的数字环境，如果不加以阻止的话。Cyber​​ AI 已经发现并阻止了数百次设备感染加密挖掘恶意软件的攻击，包括：

• 负责打开和关闭生物识别门的服务器；
• 光谱仪，一种使用光波长分析材料的医疗物联网设备；
• 12 台服务器隐藏在一家意大利银行的地板下。

在去年的一个例子中，在公司系统上检测到异常的加密挖掘活动。经调查，该组织将异常活动追踪到他们的一个仓库，在那里他们发现一个看起来不起眼的纸板箱放在架子上。打开这些盒子会发现一个伪装的加密货币农场，正在耗尽公司的网络能力。

如果它仍然未被发现，加密采矿场将导致客户的经济损失和业务运作中断。采矿设备也会产生大量热量，很容易在仓库中引起火灾。

该案例展示了机会主义个人可能采用加密挖掘恶意软件劫持公司基础设施的隐蔽方法，以及对涵盖整个数字资产并检测任何新事件或异常事件的安全工具的需求。机器学习将仓库中的连接标记为高度异常，从而导致了这一意外发现。

在使用Antigena的组织中，任何异常的加密采矿设备都将被阻止与相关的外部端点进行通信，从而有效地抑制了采矿活动。Antigena 还可以通过在数字环境中强制执行“生活模式”来做出响应，防止恶意行为，同时允许正常的业务活动继续进行。随着不良行为者的不断增多和黑客设计出部署加密挖掘恶意软件的新方法，在数字环境的每个部分的全面可见性和自主响应比以往任何时候都更加重要。

模型检测：

• 合规/加密货币挖矿活动
• 妥协/高优先级加密货币挖矿
• 妥协/门罗币挖矿
• 异常连接/罕见的外部 SSL 自签名
• 妥协/HTTP 信标到稀有目的地
• 妥协 / POS 和 Beacon 到罕见的外部
• 对外部稀有的妥协/缓慢的信标活动
• 向稀有目的地妥协/SSL 信标
• 对稀有端点的妥协/持续 TCP 信标活动
• 异常连接/到稀有目的地的多个失败连接
• 妥协/持续 SSL 或 HTTP 增加
• 异常连接/连接到新 TCP 端口
• 异常连接/连接到新的 UDP 端口
• 与稀有外部主机的妥协/多个 UDP 连接
• 妥协 / SSL 或 HTTP 信标
• 妥协/快速和常规的 HTTP 信标
• 设备/可疑域
• 对稀有 PHP 端点的妥协/可疑信标
• 来自 Rare 的异常文件/脚本
• 异常连接/新的外部 Windows 连接失败
• 设备/新的外部连接失败
• 新外部主机上的异常连接/POST 到 PHP