Isso se resume à conscientização da sua infraestrutura, algo que 95% de todas as empresas não têm.
A primeira coisa é que eu configuraria um sistema de monitoramento que monitoraria o uso da CPU e a contagem de processos, criaria uma linha de base para o que é normal, o que é o pico anual e assim por diante.
Monitore os processos ativos. Juntamente com minha documentação e linha de base, eu decidiria o que é normal e o que não é. Exemplo, se o servidor for um servidor Tomcat, eu esperaria ver processos que tratam do próprio serviço Tomcat, Java, solicitações HTTP, backup e assim por diante. Mas se um processo desonesto aparecer de repente, não vi antes ou a contagem do processo ativo de repente salta por 16, 32 ou algo a esse respeito, fora do pico e permanece a sua, eu posso determinar que não é um processo normal ou processos para a operação do servidor e eu posso investigar.
Instalar um Sistema de Detecção de Intrusão no local também é fundamental, para que um processo seja iniciado, ele precisa solicitar tempo de CPU de uma forma ou de outra. O sistema IDS pode monitorar isso, registrá-lo e, novamente, se eu vir algo fora da norma que eu possa investigar.
Com base no "serviço" de criptografia, ele pode não sobrecarregar muito a CPU do servidor, já que você pode acelerar os processos ou distribuí-los por 32 núcleos ou do que seu servidor é capaz de fazer. Então, eu iria monitorar várias coisas e, a partir disso, determinar o que está acontecendo.
Nesse sentido, eu diria que não é uma forma direta de determinar isso, a menos que você tenha como alvo um mineiro de criptografia específico.