Programa de protección contra la minería de criptomonedas de Security Command Center

Este programa de protección se basa en la inversión de Google en tecnología de detección de minería de criptomonedas, que forma parte del servicio Virtual Machine Threat Detection (VMTD) de Security Command Center Premium. Por lo tanto, este programa solo cubre los tipos de máquinas virtuales de Compute Engine y los entornos de computación compatibles con VMTD. 

La cobertura del programa incluye:

• Minería de criptomonedas no detectada y no autorizada que se esté produciendo en instancias de Compute Engine basadas en Linux. 

La cobertura del programa excluye el resto de los servicios de Google Cloud, incluidos, entre otros:

• Máquinas virtuales de Windows
• Máquinas virtuales de Confidential Compute
• Instancias de Google Kubernetes
• Instancias de App Engine
• Cloud Run
• Cloud Functions

Animamos a los clientes de Security Command Center Premium a monitorizar el uso de los servicios de Google Cloud que no estén cubiertos por este programa para reducir el riesgo de ataques de minería de criptomonedas no detectados.

Este programa no cubre la actividad de minería de criptomonedas iniciada por el cliente. Ejecutar software de minería de criptomonedas en Google Cloud supone una infracción de los Términos del Servicio de Google Cloud Platform.

A continuación, incluimos una lista de prácticas recomendadas que debes revisar y seguir para poder participar en el programa. Si quieres obtener más información, consulta las prácticas recomendadas para detectar la minería de criptomonedas de Security Command Center.

• Activar Security Command Center Premium en toda la organización de Google Cloud del cliente.
• Habilitar Virtual Machine Threat Detection (VMTD) y Event Threat Detection (ETD) en los proyectos de la organización de Google Cloud del cliente.
• Habilitar Cloud DNS Logging
• Integrar los resultados de Security Command Center con las herramientas de operaciones de seguridad de cualquier cliente actual (como Chronicle SIEM y Chronicle SOAR) para responder y clasificar los resultados de seguridad que indiquen la presencia o el potencial de ataques de minería de criptomonedas.
• Mantener las asignaciones de roles y permisos de la gestión de identidades y accesos que sean necesarias de los usuarios y las cuentas de servicio de Security Command Center.
• Actualizar y mantener un contacto esencial de seguridad

Para ayudar a los clientes a comprobar si estas prácticas recomendadas se han implementado en su entorno, los expertos en seguridad de Google Cloud han publicado esta secuencia de comandos de validación, cuyo resultado solo es visible para el cliente.

Security Command Center notificará a los clientes de los ataques de minería de criptomonedas en su entorno de máquinas virtuales de Compute Engine para generar uno o varios resultados de detección de las fases 0 o 1.

Los resultados de detección de la fase 0 son indicadores principales de un ataque de minería de criptomonedas y permiten detectar en el plano de control un ataque inminente o en curso. Los resultados de detección de la fase 1 son indicios positivos de ataques de minería de criptomonedas.

Resultados de la detección de la fase 0

• La cuenta tiene credenciales filtradas
• Evasión de defensa: acceso del proxy anonimizado
• Acceso inicial: acción en la cuenta de servicio inactiva

Resultados de la detección de la fase 1

• Malware: dominio incorrecto de minería de criptomonedas (Event Threat Detection)
• Malware: IP incorrecta de minería de criptomonedas (Event Threat Detection)
• Ejecución: regla de YARA de criptomoneda (VM Threat Detection)
• Ejecución: coincidencia de hash de minería de criptomonedas (VM Threat Detection)
• Ejecución: detección combinada (reglas de YARA y coincidencia de hash) (VM Threat Detection)

Alternativamente, Google también puede informar al cliente de que Google ha detectado una posible actividad de minería de criptomonedas en su entorno.

El resultado de la detección de detección de Security Command Center Fase 0 o 1, o de envío de una notificación al cliente de cualquier otra forma, satisface la responsabilidad de Google respecto a las notificaciones según los términos de este programa. 

Si se produce un retraso desde el momento en que comienza un ataque hasta que Security Command Center ofrece un resultado de detección, o desde que Google envía una notificación al cliente, este podrá solicitar créditos por el exceso de costes de Compute Engine desde el inicio del ataque hasta la notificación. Si quieres obtener más información, consulta las prácticas recomendadas para detectar la minería de criptomonedas de Security Command Center. 

Para poder recibir créditos de Google Cloud en el programa, el cliente debe cumplir los siguientes requisitos (previa solicitud):

• Enviar pruebas que demuestren razonablemente que se ha producido un ataque de minería de criptomonedas, como registros de eventos o costes anómalos de Compute Engine, y 
• dar a conocer y proporcionar pruebas que demuestren razonablemente que el cliente estaba siguiendo las prácticas recomendadas para la detección de la minería de criptomonedas de Security Command Center para este programa, tal como se describe en las prácticas recomendadas para la detección de la minería de criptomonedas de Security Command Center , y que no ha recibido ningún resultado ni ninguna otra notificación de Google sobre la de minería de criptomonedas.

Una vez que Google confirme que un cliente de Security Command Center Premium ha experimentado un ataque de minería de criptomonedas no detectado en su entorno de máquinas virtuales de Compute Engine, deberá colaborar con los ingenieros de seguridad de Google Cloud para identificar y compartir artefactos forenses que ayuden a Google a mejorar las funciones de detección de amenazas.

La información forense solicitada podría incluir imágenes subidas por el atacante, el binario de minería de criptomonedas ejecutado y los equipos de Cloud Audit que describan el comportamiento del adversario durante el ataque. Los clientes proporcionarán esta información a Google si así se lo solicita y tendrán la oportunidad de revisarla y de eliminar los datos sensibles o de propiedad antes de compartirla con Google.

i. En general: estos términos del programa complementan los Términos del Servicio de Google Cloud Platform. Google se reserva el derecho de realizar cambios en este programa o de interrumpirlo, por cualquier motivo o sin motivo alguno, mediante la actualización de esta página web con una notificación de 30 días de antelación. 

Para optar a los créditos de Google Cloud que ofrece el programa, el cliente debe presentar la solicitud en un plazo de 30 días a partir del momento en que empezó el ataque. 

ii. Crédito de Google Cloud: Google colaborará con el cliente para determinar los costes de Compute Engine. en los que haya incurrido debido al ataque de minería de criptomonedas y Google determinará de forma razonable si los créditos deben abonarse y el importe adecuado. El importe máximo de créditos emitidos a través de este programa no superará el millón de dólares (USD) en un periodo de 12 meses. No hay disponibles otras soluciones ni garantías explícitas, implícitas o legales (incluido, sin limitarse a ello, las garantías de comerciabilidad y adecuación para un fin concreto) en relación con este programa. El crédito de Google Cloud solo estará disponible para el cliente durante el periodo que comience desde el inicio del ataque de minería de criptomonedas hasta el momento en que Google notifique al cliente dicho ataque. Los costes asociados al ataque de minería de criptomonedas tras la notificación de Google al cliente no son aptos para recibir crédito de Google Cloud con el programa. Los créditos proporcionados al cliente no tienen valor en efectivo. Todos los créditos caducan 12 meses después de su emisión o cuando se resuelve o vence el contrato de Google Cloud del cliente.