X
Jérôme Cartegini / mardi 12 juin 2018 / Thèmes: Dossier, Sécurité

Cryptojacking

La nouvelle menace qui pèse sur les entreprises

En seulement quelques mois, le cryptojacking est devenu le nouvel eldorado des cybercriminels du monde entier. Les cryptomineurs débarquent.

 

Des millions de nouveaux fichiers malveillants sont repérés chaque jour dans les centres de cybersurveillance de Symantec.

L’objectif est simple, profiter autant que faire se peut de cette nouvelle manne financière pour engranger le plus d’argent possible en minant de la cryptomonnaie à l’insu des entreprises. Cette nouvelle menace est apparue en 2017 peu après le lancement de CoinHive, un script permettant aux éditeurs de sites web de miner de la cryptomonnaie Monero directement d’un navigateur web en exploitant les ressources de l’ordinateur des visiteurs. Présenté comme une alternative à la publicité pour monétiser les sites internet, le concept fait mouche et CoinHive se retrouve très vite sur des dizaines de milliers de sites web. Utilisé à l’insu des utilisateurs par certains éditeurs peu scrupuleux, et de plus en plus intégré de manière illégale par des hackers, ce type de scripts a fait augmenter le cryptojacking de façon spectaculaire.

The Pirate Bay, Los Angeles Times, BlackBerry, Politifact, Salon.com ou encore Showtime, voici quelques exemples de sites célèbres ayant été victimes (consentantes ou non) de cryptomineurs ces derniers mois. Selon le spécialiste de sécurité Symantec, les détections de services de minage a augmenté de 34 000 % entre les mois de septembre et décembre 2017 ! Une tendance qui s’amplifie à mesure que la valeur des cryptomonnaies augmente.

Avec pas moins de 1 564 cryptomonnaies disponibles sur plus de 10000 market places, représentant une capitalisation d’environ 300 milliards de dollars, le potentiel est tellement énorme que le cryptomining est devenu en seulement quelques mois la principale forme de cybercriminalité à travers le monde.

Contrairement au business légal de l’extraction de crypto-devises (cryptocurrency mining) qui consiste à valider des transactions en Bitcoin ou autres monnaies virtuelles principalement par le biais de fermes de serveurs, les hackers font appel à des botnets pour exploiter le maximum de puissance de calcul aux dépens des utilisateurs. Ils ne font pas dans le détail et cherchent à exploiter toutes les ressources disponibles qu’elles proviennent de PC, de Mac, de tablettes, de smartphones, de serveurs, et de toutes sortes d’objets connectés. Les techniques pour diffuser illégalement des cryptomineurs ne cessent d’évoluer au point de devenir parfois totalement invisibles.

Alors que les détections d’attaques contre les particuliers ont chuté de 35 % au premier trimestre 2018 par rapport au trimestre précédent, celles contre les entreprises ont grimpé de 27 % sur la même période. Pour Malwarebytes, les entreprises se retrouvent désormais en première ligne.

Des techniques d’attaques diversifiées

Les cryptomineurs peuvent prendre différentes formes pour se répandre et celles-ci sont de plus en plus élaborées. La méthode la plus répandue consiste à détourner et intégrer dans des applications malveillantes des modules de cryptominage JavaScript développés par CoinHive et des services concurrents créés dans son sillage tels que Coin-Have, AFMine, ou CryptoLoot. Les sites web infectés exécutent alors un code JavaScript qui fait tourner un cryptomineur en exploitant le CPU de toutes les machines qui les visitent. Peu à peu, les cybercriminels se sont mis également à adapter les mêmes méthodes de diffusion des ransomwares au cryptomining. Parmi les attaques détectées par les éditeurs de sécurité, plusieurs tentaient d’exploiter la vulnérabilité EternalBlue qui avait permis la diffusion massive en 2017 des fameux ransomwares WannaCry et Not-Petya.

Trojans, plug-in,  kits d’exploitation, téléchargement drive-by…

Des applications mobiles malveillantes dissimulant des trojans associés à un programme de cryptomining pullulent sur la plate-forme Android. L’éditeur de sécurité russe Kaspersky a découvert un trojan mobile multifonction particulièrement retord baptisé Loapi. Doté d’une architecture modulaire complexe, ce malware se propage via des campagnes publicitaires en se faisant passer pour une solution antivirus ou une application pour adulte. Le trojan, qui inclut plusieurs modules, dont un de minage de Moneros, est si puissant qu’il peut exploiter les ressources des smartphones infectés jusqu’à déformer leur batterie et les détruire, du jamais vu ! Des plug-ins web peuvent également être détournés pour mener des campagnes de minage.

Des centaines de sites institutionnels britanniques, américains ou encore français ont récemment été affectés par un code malveillant inséré dans un plug-in de la société Texthelp pour miner illégalement de la cryptomonnaie Monero sur le dos des institutions. Sans oublier les kits d’exploitation RIG qui ont également diffusé des cryptomineurs par le biais d’un malware dénommé SmokeLoader. Ces derniers constituent actuellement l’une des charges utiles les plus utilisées par les hackers pour mener des attaques de téléchargement drive-by. Les cybercriminels expérimentent toutes sortes de méthodes pour trouver de nouveaux stratagèmes et maximiser leurs profits.

Sur son blog, Kaspersky estime qu’un malware de minage comme WannaMine a généré des revenus d’environ 2 millions de dollars. Toujours selon l’éditeur, des botnets particulièrement élaborés auraient même rapporté plus de 7 millions de dollars à leurs auteurs.

 

Pour chaque nouvelle menace, les ingénieurs de Symantec doivent trouver de nouvelles parades et adapter leurs outils de détection à leurs spécificités.

Un impact qui fait débat

Tous les éditeurs de sécurité s’accordent à dire que le cryptojacking a désormais détrôné les ransomwares, et qu’il va s’installer durablement dans le paysage des cybermenaces. Comparativement à des ransomwares, qui prennent en otage les données des utilisateurs pour exiger une rançon contre leur restitution, ou des malwares qui subtilisent des données sensibles, les cryptomineurs font à priori moins de dégâts et se révèlent de ce fait parfois difficiles à détecter. Laurent Heslault, directeur des stratégies sécurité chez Symantec France, explique comment les éditeurs de sécurité doivent s’adapter : « Les cryptomineurs ne sont pas réellement “ malveillants ”, c’est pour cela que chez Symantec, on les appelle des PUA, pour Potentially Unwanted Applications, ou Programmes potentiellement indésirables. Comme ils ne font rien de “ mal ”, tous les logiciels de sécurité n’ont pas forcément la capacité de les détecter. Symantec a dû adapter la détection à cette nouvelle forme de menace. Les mineurs constituent des programmes non désirés qu’il faut certes bloquer, mais la principale difficulté réside dans le fait qu’ils ne volent rien, ne font pas de phishing, ne provoquent pas de pannes comme peuvent le faire les programmes malveillants traditionnels. »

 

En fonction des attaques, de leurs ampleurs et de leurs persistances, les conséquences pour les entreprises pourraient être très importantes. « Avec les cryptomineurs, les factures d’électricité des entreprises peuvent rapidement augmenter. Si vous avez plusieurs milliers de postes qui consomment d’un coup ne serait-ce que 20 % de plus, cela peut commencer à faire mal. Les tests que nous avons menés chez Symantec montrent que cela peut également ralentir de manière relativement considérable la productivité des employés. Il n’y a pas de règles, mais avec certains cryptomineurs, nous avons pu constater que Excel pouvait être 5 à 10 fois plus lent à lancer. C’est une perte de productivité directe non négligeable, sans oublier que vous avez quand même un logiciel qui ne vous appartient pas sur votre infrastructure. Rien ne dit que demain à l’occasion d’une mise à jour, un cryptomineur ne se décide à faire du ransomware… C’est comme une tête de pont qui peut tout à fait servir à autre chose », ajoute Laurent Heslault.

Des mesures indispensables

Les importantes ressources matérielles des entreprises et des institutions publiques en font désormais une cible de choix pour les cybercriminels. Outre les postes Windows, les terminaux Android sont particulièrement touchés. Au premier trimestre 2018, les mineurs visant l’OS mobile de Google ont augmenté de 4 000 % par rapport au trimestre précédent. Contrairement aux idées reçues, les Mac ne sont pas épargnés. Malwarebytes a détecté plus de 1 000 mineurs malveillants sous la forme d’extensions de navigateurs et d’applications de cryptomining entre les mois de janvier et mars 2018. Pour se prémunir du cryptojacking comme des autres menaces, les entreprises doivent mettre en place une solution de sécurité globale multiniveau.

La surveillance de l’utilisation de leurs ressources et le blocage de l’exécution automatique du JavaScript doivent désormais figurer aux premières places des mesures de sécurité à prendre pour lutter en particulier contre le cryptojacking. Une menace qui n’est vraisemblablement pas près de faiblir dans les mois, voire les années à venir…


« On commence à avoir de plus en plus de cryptomineurs  très sophistiqués qui fonctionnent de manière invisible  afin d’utiliser les ressources des postes compromis  le plus longtemps possible »
Nicolas Sterckmans, Senior Sale Engineer chez Malwarebytes.

 

« Au départ, il était très simple de détecter un cryptomineur. Ils étaient faits un peu à la va-vite et utilisaient 100 % du CPU. Maintenant, on a des choses beaucoup plus élaborées et discrètes qui se contentent d’exploiter 10, 15 à 20 % de la puissance de calcul des terminaux. C’est ce qu’on a pu voir avec l’application Badle Pricom sur Android, qui fournissait des écrans de veille. Elle dissimulait un bitcoin miner qui vérifiait en permanence l’état de la batterie, la connectivité, si le téléphone était allumé, etc., pour éviter de se faire repérer. Il ne se lançait par exemple que lorsqu’il y avait plus de 50 % de la batterie et que si la réception réseau était bonne. On commence à détecter des cryptomineurs de plus en plus sophistiqués qui fonctionnent de manière invisible afin d’utiliser les ressources des postes compromis le plus longtemps possible. Les cybercriminels sont encore en phase de tests et ils regardent toute l’étendue de ce qu’ils peuvent faire. Au mois de février dernier, un opérateur européen d’infrastructure critique d’épuration des eaux avec des Scada a été infecté (ndlr : premier exemple connu d’un logiciel malveillant de cryptominage ayant été utilisé contre un système de contrôle industriel). Il n’y a pas encore de chiffres officiels sur les montants que ces campagnes de minage rapportent réellement, mais elles rapportent beaucoup plus que les éléments malveillants qui utilisaient jusqu’à présent votre machine pour faire de la fraude au clic – ou malware teasing… »

 

3395

x
Rechercher dans les dossiers

Actuellement à la Une...
En Allemagne, l’opérateur télécom vient d’écoper d’une amende de 9,5 millions d’euros infligée par le gendarme des données personnelles, qui reproche à 1&1 une protection insuffisante des données de ses clients.

Chose promise, chose due, Microsoft a livré la version Linux de Teams. Disponible en préversion publique, il s’agit pour Redmond de répondre à la demande populaire et d’emboîter le pas à Slack.

Au sommaire de ce numéro : L'IA AU COEUR DES MÉTIERS : retours d'expérience Cemex, Lamborghini, Decathlon, HSBC - Google Cloud Platform : tout sur la migration ! - Edge Computing, chaînon manquant - Cybersécurité : lutter contre l'ennemi intérieur - Ansible, outil de prédilection des DevOps - Docker, de Montrouge à la roche tarpéienne...

Le gouvernement parviendra-t-il à unir sous une même bannière les telcos malgré les inimitiés entre les acteurs de ce marché ultra-concurrentiel ? Le comité de filière stratégique, qui s’appuiera sur les fédérations en place, devrait être signé mercredi prochain.

Les fonds Elliott Management et Francisco Partners se seraient associés afin de mettre la main sur le fournisseur de logiciels d’acc&egra...

Le patron de Twitter milite en faveur d’un protocole ouvert et décentralisé pour les réseaux sociaux, afin de faciliter la lutte contre la désinformation et le harcèlement, ainsi que le développement d’algorithmes de recommandations.

Après le rachat de la branche entreprise de Symantec par Broadcom, trois acquéreurs se sont manifestés pour mettre la main sur ses activités grand public, rebaptisées Norton LifeLock. McAfee fait partie des acheteurs potentiels.

Alors que l’opérateur bénéficie d’un sursis, Infranum a pris position en faveur du maintien d’un acteur op&eacu...

Preuve s’il en est du dynamisme de la filière cybersécurité en France, c’est une cinquantaine de candidatures que le jury chargé de décerner le prix Startup du FIC ont dû départager. La messagerie instantanée Olvid a remporté le trophée.

Disponible depuis quelques semaines pour les internautes américains, le nouvel algorithme doit rendre plus efficaces les recherches complexes ou exprimées en langage quasi naturel associant de nombreux mots avec des prépositions.

Toutes les News
LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs