X
Jérôme Cartegini / mardi 12 juin 2018 / Thèmes: Dossier, Sécurité

Cryptojacking

La nouvelle menace qui pèse sur les entreprises

En seulement quelques mois, le cryptojacking est devenu le nouvel eldorado des cybercriminels du monde entier. Les cryptomineurs débarquent.

 

Des millions de nouveaux fichiers malveillants sont repérés chaque jour dans les centres de cybersurveillance de Symantec.

L’objectif est simple, profiter autant que faire se peut de cette nouvelle manne financière pour engranger le plus d’argent possible en minant de la cryptomonnaie à l’insu des entreprises. Cette nouvelle menace est apparue en 2017 peu après le lancement de CoinHive, un script permettant aux éditeurs de sites web de miner de la cryptomonnaie Monero directement d’un navigateur web en exploitant les ressources de l’ordinateur des visiteurs. Présenté comme une alternative à la publicité pour monétiser les sites internet, le concept fait mouche et CoinHive se retrouve très vite sur des dizaines de milliers de sites web. Utilisé à l’insu des utilisateurs par certains éditeurs peu scrupuleux, et de plus en plus intégré de manière illégale par des hackers, ce type de scripts a fait augmenter le cryptojacking de façon spectaculaire.

The Pirate Bay, Los Angeles Times, BlackBerry, Politifact, Salon.com ou encore Showtime, voici quelques exemples de sites célèbres ayant été victimes (consentantes ou non) de cryptomineurs ces derniers mois. Selon le spécialiste de sécurité Symantec, les détections de services de minage a augmenté de 34 000 % entre les mois de septembre et décembre 2017 ! Une tendance qui s’amplifie à mesure que la valeur des cryptomonnaies augmente.

Avec pas moins de 1 564 cryptomonnaies disponibles sur plus de 10000 market places, représentant une capitalisation d’environ 300 milliards de dollars, le potentiel est tellement énorme que le cryptomining est devenu en seulement quelques mois la principale forme de cybercriminalité à travers le monde.

Contrairement au business légal de l’extraction de crypto-devises (cryptocurrency mining) qui consiste à valider des transactions en Bitcoin ou autres monnaies virtuelles principalement par le biais de fermes de serveurs, les hackers font appel à des botnets pour exploiter le maximum de puissance de calcul aux dépens des utilisateurs. Ils ne font pas dans le détail et cherchent à exploiter toutes les ressources disponibles qu’elles proviennent de PC, de Mac, de tablettes, de smartphones, de serveurs, et de toutes sortes d’objets connectés. Les techniques pour diffuser illégalement des cryptomineurs ne cessent d’évoluer au point de devenir parfois totalement invisibles.

Alors que les détections d’attaques contre les particuliers ont chuté de 35 % au premier trimestre 2018 par rapport au trimestre précédent, celles contre les entreprises ont grimpé de 27 % sur la même période. Pour Malwarebytes, les entreprises se retrouvent désormais en première ligne.

Des techniques d’attaques diversifiées

Les cryptomineurs peuvent prendre différentes formes pour se répandre et celles-ci sont de plus en plus élaborées. La méthode la plus répandue consiste à détourner et intégrer dans des applications malveillantes des modules de cryptominage JavaScript développés par CoinHive et des services concurrents créés dans son sillage tels que Coin-Have, AFMine, ou CryptoLoot. Les sites web infectés exécutent alors un code JavaScript qui fait tourner un cryptomineur en exploitant le CPU de toutes les machines qui les visitent. Peu à peu, les cybercriminels se sont mis également à adapter les mêmes méthodes de diffusion des ransomwares au cryptomining. Parmi les attaques détectées par les éditeurs de sécurité, plusieurs tentaient d’exploiter la vulnérabilité EternalBlue qui avait permis la diffusion massive en 2017 des fameux ransomwares WannaCry et Not-Petya.

Trojans, plug-in,  kits d’exploitation, téléchargement drive-by…

Des applications mobiles malveillantes dissimulant des trojans associés à un programme de cryptomining pullulent sur la plate-forme Android. L’éditeur de sécurité russe Kaspersky a découvert un trojan mobile multifonction particulièrement retord baptisé Loapi. Doté d’une architecture modulaire complexe, ce malware se propage via des campagnes publicitaires en se faisant passer pour une solution antivirus ou une application pour adulte. Le trojan, qui inclut plusieurs modules, dont un de minage de Moneros, est si puissant qu’il peut exploiter les ressources des smartphones infectés jusqu’à déformer leur batterie et les détruire, du jamais vu ! Des plug-ins web peuvent également être détournés pour mener des campagnes de minage.

Des centaines de sites institutionnels britanniques, américains ou encore français ont récemment été affectés par un code malveillant inséré dans un plug-in de la société Texthelp pour miner illégalement de la cryptomonnaie Monero sur le dos des institutions. Sans oublier les kits d’exploitation RIG qui ont également diffusé des cryptomineurs par le biais d’un malware dénommé SmokeLoader. Ces derniers constituent actuellement l’une des charges utiles les plus utilisées par les hackers pour mener des attaques de téléchargement drive-by. Les cybercriminels expérimentent toutes sortes de méthodes pour trouver de nouveaux stratagèmes et maximiser leurs profits.

Sur son blog, Kaspersky estime qu’un malware de minage comme WannaMine a généré des revenus d’environ 2 millions de dollars. Toujours selon l’éditeur, des botnets particulièrement élaborés auraient même rapporté plus de 7 millions de dollars à leurs auteurs.

 

Pour chaque nouvelle menace, les ingénieurs de Symantec doivent trouver de nouvelles parades et adapter leurs outils de détection à leurs spécificités.

Un impact qui fait débat

Tous les éditeurs de sécurité s’accordent à dire que le cryptojacking a désormais détrôné les ransomwares, et qu’il va s’installer durablement dans le paysage des cybermenaces. Comparativement à des ransomwares, qui prennent en otage les données des utilisateurs pour exiger une rançon contre leur restitution, ou des malwares qui subtilisent des données sensibles, les cryptomineurs font à priori moins de dégâts et se révèlent de ce fait parfois difficiles à détecter. Laurent Heslault, directeur des stratégies sécurité chez Symantec France, explique comment les éditeurs de sécurité doivent s’adapter : « Les cryptomineurs ne sont pas réellement “ malveillants ”, c’est pour cela que chez Symantec, on les appelle des PUA, pour Potentially Unwanted Applications, ou Programmes potentiellement indésirables. Comme ils ne font rien de “ mal ”, tous les logiciels de sécurité n’ont pas forcément la capacité de les détecter. Symantec a dû adapter la détection à cette nouvelle forme de menace. Les mineurs constituent des programmes non désirés qu’il faut certes bloquer, mais la principale difficulté réside dans le fait qu’ils ne volent rien, ne font pas de phishing, ne provoquent pas de pannes comme peuvent le faire les programmes malveillants traditionnels. »

 

En fonction des attaques, de leurs ampleurs et de leurs persistances, les conséquences pour les entreprises pourraient être très importantes. « Avec les cryptomineurs, les factures d’électricité des entreprises peuvent rapidement augmenter. Si vous avez plusieurs milliers de postes qui consomment d’un coup ne serait-ce que 20 % de plus, cela peut commencer à faire mal. Les tests que nous avons menés chez Symantec montrent que cela peut également ralentir de manière relativement considérable la productivité des employés. Il n’y a pas de règles, mais avec certains cryptomineurs, nous avons pu constater que Excel pouvait être 5 à 10 fois plus lent à lancer. C’est une perte de productivité directe non négligeable, sans oublier que vous avez quand même un logiciel qui ne vous appartient pas sur votre infrastructure. Rien ne dit que demain à l’occasion d’une mise à jour, un cryptomineur ne se décide à faire du ransomware… C’est comme une tête de pont qui peut tout à fait servir à autre chose », ajoute Laurent Heslault.

Des mesures indispensables

Les importantes ressources matérielles des entreprises et des institutions publiques en font désormais une cible de choix pour les cybercriminels. Outre les postes Windows, les terminaux Android sont particulièrement touchés. Au premier trimestre 2018, les mineurs visant l’OS mobile de Google ont augmenté de 4 000 % par rapport au trimestre précédent. Contrairement aux idées reçues, les Mac ne sont pas épargnés. Malwarebytes a détecté plus de 1 000 mineurs malveillants sous la forme d’extensions de navigateurs et d’applications de cryptomining entre les mois de janvier et mars 2018. Pour se prémunir du cryptojacking comme des autres menaces, les entreprises doivent mettre en place une solution de sécurité globale multiniveau.

La surveillance de l’utilisation de leurs ressources et le blocage de l’exécution automatique du JavaScript doivent désormais figurer aux premières places des mesures de sécurité à prendre pour lutter en particulier contre le cryptojacking. Une menace qui n’est vraisemblablement pas près de faiblir dans les mois, voire les années à venir…


« On commence à avoir de plus en plus de cryptomineurs  très sophistiqués qui fonctionnent de manière invisible  afin d’utiliser les ressources des postes compromis  le plus longtemps possible »
Nicolas Sterckmans, Senior Sale Engineer chez Malwarebytes.

 

« Au départ, il était très simple de détecter un cryptomineur. Ils étaient faits un peu à la va-vite et utilisaient 100 % du CPU. Maintenant, on a des choses beaucoup plus élaborées et discrètes qui se contentent d’exploiter 10, 15 à 20 % de la puissance de calcul des terminaux. C’est ce qu’on a pu voir avec l’application Badle Pricom sur Android, qui fournissait des écrans de veille. Elle dissimulait un bitcoin miner qui vérifiait en permanence l’état de la batterie, la connectivité, si le téléphone était allumé, etc., pour éviter de se faire repérer. Il ne se lançait par exemple que lorsqu’il y avait plus de 50 % de la batterie et que si la réception réseau était bonne. On commence à détecter des cryptomineurs de plus en plus sophistiqués qui fonctionnent de manière invisible afin d’utiliser les ressources des postes compromis le plus longtemps possible. Les cybercriminels sont encore en phase de tests et ils regardent toute l’étendue de ce qu’ils peuvent faire. Au mois de février dernier, un opérateur européen d’infrastructure critique d’épuration des eaux avec des Scada a été infecté (ndlr : premier exemple connu d’un logiciel malveillant de cryptominage ayant été utilisé contre un système de contrôle industriel). Il n’y a pas encore de chiffres officiels sur les montants que ces campagnes de minage rapportent réellement, mais elles rapportent beaucoup plus que les éléments malveillants qui utilisaient jusqu’à présent votre machine pour faire de la fraude au clic – ou malware teasing… »

 

Print
3148

x
Rechercher dans les dossiers
Les derniers dossiers...
Réduire
Actuellement à la Une...
Le groupe de recherche OpenAI, dont Elon Musk est un des investisseurs, signe un important partenariat avec Microsoft qui gagne ainsi un client d’envergure pour son Cloud Azure.

Le lecteur multimédia est affligé d’une vulnérabilité critique de type débordement de la mémoire tampon. La troisième découverte en deux mois chez VLC. Un correctif est en cours de développement.

La marque à la pomme a finalement trouvé en avril dernier un accord avec Qualcomm mettant fin à leurs litiges. Intel venait en effet d’annoncer qu’il ne produirait plus de modems 5G, obligeant probablement Apple à trouver un compromis avec son rival. Ce qui n’empêche pas Cupertino de songer à rapatrier les activités modems 5G du fondeur dans son giron.

[EXCLUSIF] Depuis ses débuts, la plateforme collaborative est en butte à une critique récurrente : ses clients web et desktop sont gourmands, très gourmands. Or Slack annonce aujourd’hui résoudre ce problème et déploie une mise à jour améliorant les performances de ses applications. 


Pendant un quart de siècle, il a pris avec lui des informations classifiées provenant d’agences gouvernementales américaines. Pour avoir volé plus de 50 To de données, Harold Martin est condamné à 9 ans de prison. Mais la preuve d’un partage ou d’une vente de ces informations n’a jamais pu être apportée.

La fondation autour du projet Cloud Foundry va déployer une nouvelle version du programme de formation et de certification et sera dévoilé lors de l’édition européenne de la conférence de la fondation.

L’éditeur de solutions de protection des données a profité de l’événement partenaire de Microsoft, Inspire, pour annoncer le renforcement de sa solution avec de nouvelles fonctionnalités qui sécurisent les données des solutions SaaS de Microsoft.

Si le gendarme des données personnelles laisse un an aux éditeurs pour s’adapter aux futures règles régissant le dépôt de cookies, les nouvelles règles conformes RGPD fraîchement publiées au JORF donnent un aperçu du futur régime applicable et matière à prendre de l’avance.


Les verticaux, si chers au gouvernement et à l’Arcep, commencent à manifester de l’intérêt pour obtenir des bandes de fréquences. Mais point de 5G ici, EDF et Aéroports de Paris sont candidats sur la bande 2,6 Ghz, destinés à la 4G, dont le guichet d’attribution a été ouvert en mai dernier.

Fin de partie pour les navettes autonomes circulant sur l’Esplanade de la Défense. Trop complexe, trop couteux, trop inadapté, le service expérimenté depuis 2017 est finalement arrêté.

Toutes les News

LIVRES BLANCS
Les entreprises et les organismes publics se focalisent aujourd’hui sur la transformation numérique. En conséquence, les DevOps et l’agilité sont au premier plan des discussions autour des stratégies informatiques. Pour offrir ces deux avantages, les entreprises travaillent de plus en plus avec les fournisseurs de services de cloud public et développent désormais des clouds sur site à partir d’une infrastructure qui répond à trois exigences de base:
1. Agilité sans friction des ressources physiques
2. Systèmes de contrôle optimisant l'utilisation des ressources physiques et offrant un retour sur investissement maximal
3. Intégration des divers composants de l'infrastructure pour un provisionnement et une gestion des ressources automatisés.


Pour fonctionner, votre entreprise doit pouvoir compter sur une solution de sauvegarde efficace, essentielle dans un monde marqué par une croissance exponentielle des données. Vous devez à la fois accélérer vos sauvegardes et pouvoir y accéder plus rapidement pour satisfaire les exigences actuelles de continuité d’activité, disponibilité, protection des données et conformité réglementaire. Dans cette ère de croissance effrénée, les cibles sur bande hors site et autres approches traditionnelles sont simplement dépassées.


L’Intelligence Artificielle promet de révolutionner la perception de la cybersécurité au coeur des entreprises, mais pas uniquement. Ce changement de paradigme engage, en effet, une redéfinition complète des règles du jeu pour les DSI et les RSSI, ainsi que l’ensemble des acteurs de la sécurité.


Lorsque l'on déploie des postes de travail, ils ont généralement tous la même configuration matérielle et logicielle (avec certaines spécificités selon les services). Mais on ne peut pas toujours tout prévoir et il arrive par exemple que de nouveaux programmes doivent être installés ou n’aient pas été prévus. L’accumulation de logiciels « lourds » est susceptible de provoquer des lenteurs significatives sur un PC allant jusqu’à l’extinction nette de l’application. Ce livre blanc explique comment optimiser les performances au travers de 5 conseils rapides à mettre en place.


Ce guide est conçu pour aider les entreprises à évaluer les solutions de sécurité des terminaux. Il peut être utilisé par les membres de l'équipe de réponse aux incidents et des opérations de sécurité travaillant avec des outils de sécurité des points finaux sur une base quotidienne. Il peut également être utilisé par les responsables informatiques, les professionnels de la sécurité, les responsables de la conformité et d’autres personnes pour évaluer leurs performances. les capacités de l’entreprise en matière de cybersécurité, identifier les lacunes dans la sécurité des terminaux et sélectionner les bons produits pour combler ces lacunes.


Tous les Livres Blancs