Microsoft e Intel se alían para mejorar la detección de criptomineros

Recomendados:  Sophos ZTNA: securizando el acceso a organizaciones en cualquier lugar Webinar Informe global de ciberamenazas en 2021 Leer Crowdstrike Falcon Complete, detección y respuesta gestionada Leer

Según investigaciones recientes de Avira Protection Labs, hubo un aumento del 53% en los ataques de malware de minería de criptomonedas en el cuarto trimestre de 2020 en comparación con el trimestre anterior. Este aumento en la actividad de los criptomineros está impulsado por el creciente valor de criptomonedas como Bitcoin, la popularidad de diferentes tipos de divisas (Ethereum, Litecoin, y Dogecoin), y la volatilidad en estos mercados. A medida que los precios de las criptomonedas suben, muchos atacantes oportunistas ahora prefieren utilizar cryptojacking sobre ransomware.

Con el malware evolucionando a lo largo de los años para evadir las defensas anti-malware típicas, la detección de criptomineros se ha vuelto cada vez más difícil. Esta amenaza creciente es la razón por la que Microsoft e Intel se han asociado para ofrecer tecnología que utiliza la detección de amenazas basada en silicio para habilitar las capacidades de detección y respuesta de endpoints (EDR) en Microsoft Defender for Endpoint para detectar mejor el malware de minería de criptomonedas, incluso cuando está ofuscado e intenta evadir las herramientas de seguridad.

La integración de la tecnología Intel threat detection (TDT) en Microsoft Defender for Endpoint es una adición que mejora la capacidad de detección y la protección contra el cryptojacking. TDT se basa en señales de telemetría procedentes directamente de la unidad de supervisión del rendimiento de la CPU (PMU). Los mineros de criptomonedas hacen un uso intensivo de las operaciones matemáticas repetidas y esta actividad es registrada por la PMU, que activa una señal cuando se alcanza un cierto umbral de uso. La señal es procesada por una capa de aprendizaje automático que puede reconocer la huella generada por la actividad específica de la minería de criptomonedas. Dado que la señal proviene exclusivamente de la utilización de la CPU, causada por las características de ejecución del malware, no se ve afectada por técnicas comunes de evasión antimalware.

Esta tecnología no requiere inversiones adicionales, configuración de TI o instalación de agentes. La solución integrada Microsoft Defender for Endpoint e Intel TDT funciona de forma nativa con procesadores Intel Core y la plataforma Intel vPro. Microsoft Defender for Endpoint puede detener la propia máquina virtual o denunciar el abuso de la máquina virtual, evitando así la propagación de un ataque, así como ahorrando recursos. Este es un paso hacia la detección de malware sin agente, donde el "protector" puede proteger el activo del "atacante" sin tener que estar en el mismo sistema operativo.