X
Jérôme Cartegini / lundi 11 juin 2018 / Thèmes: Dossier, Sécurité

Cryptojacking

La nouvelle menace qui pèse sur les entreprises

En seulement quelques mois, le cryptojacking est devenu le nouvel eldorado des cybercriminels du monde entier. Les cryptomineurs débarquent.

 

Des millions de nouveaux fichiers malveillants sont repérés chaque jour dans les centres de cybersurveillance de Symantec.

L’objectif est simple, profiter autant que faire se peut de cette nouvelle manne financière pour engranger le plus d’argent possible en minant de la cryptomonnaie à l’insu des entreprises. Cette nouvelle menace est apparue en 2017 peu après le lancement de CoinHive, un script permettant aux éditeurs de sites web de miner de la cryptomonnaie Monero directement d’un navigateur web en exploitant les ressources de l’ordinateur des visiteurs. Présenté comme une alternative à la publicité pour monétiser les sites internet, le concept fait mouche et CoinHive se retrouve très vite sur des dizaines de milliers de sites web. Utilisé à l’insu des utilisateurs par certains éditeurs peu scrupuleux, et de plus en plus intégré de manière illégale par des hackers, ce type de scripts a fait augmenter le cryptojacking de façon spectaculaire.

The Pirate Bay, Los Angeles Times, BlackBerry, Politifact, Salon.com ou encore Showtime, voici quelques exemples de sites célèbres ayant été victimes (consentantes ou non) de cryptomineurs ces derniers mois. Selon le spécialiste de sécurité Symantec, les détections de services de minage a augmenté de 34 000 % entre les mois de septembre et décembre 2017 ! Une tendance qui s’amplifie à mesure que la valeur des cryptomonnaies augmente.

Avec pas moins de 1 564 cryptomonnaies disponibles sur plus de 10000 market places, représentant une capitalisation d’environ 300 milliards de dollars, le potentiel est tellement énorme que le cryptomining est devenu en seulement quelques mois la principale forme de cybercriminalité à travers le monde.

Contrairement au business légal de l’extraction de crypto-devises (cryptocurrency mining) qui consiste à valider des transactions en Bitcoin ou autres monnaies virtuelles principalement par le biais de fermes de serveurs, les hackers font appel à des botnets pour exploiter le maximum de puissance de calcul aux dépens des utilisateurs. Ils ne font pas dans le détail et cherchent à exploiter toutes les ressources disponibles qu’elles proviennent de PC, de Mac, de tablettes, de smartphones, de serveurs, et de toutes sortes d’objets connectés. Les techniques pour diffuser illégalement des cryptomineurs ne cessent d’évoluer au point de devenir parfois totalement invisibles.

Alors que les détections d’attaques contre les particuliers ont chuté de 35 % au premier trimestre 2018 par rapport au trimestre précédent, celles contre les entreprises ont grimpé de 27 % sur la même période. Pour Malwarebytes, les entreprises se retrouvent désormais en première ligne.

Des techniques d’attaques diversifiées

Les cryptomineurs peuvent prendre différentes formes pour se répandre et celles-ci sont de plus en plus élaborées. La méthode la plus répandue consiste à détourner et intégrer dans des applications malveillantes des modules de cryptominage JavaScript développés par CoinHive et des services concurrents créés dans son sillage tels que Coin-Have, AFMine, ou CryptoLoot. Les sites web infectés exécutent alors un code JavaScript qui fait tourner un cryptomineur en exploitant le CPU de toutes les machines qui les visitent. Peu à peu, les cybercriminels se sont mis également à adapter les mêmes méthodes de diffusion des ransomwares au cryptomining. Parmi les attaques détectées par les éditeurs de sécurité, plusieurs tentaient d’exploiter la vulnérabilité EternalBlue qui avait permis la diffusion massive en 2017 des fameux ransomwares WannaCry et Not-Petya.

Trojans, plug-in,  kits d’exploitation, téléchargement drive-by…

Des applications mobiles malveillantes dissimulant des trojans associés à un programme de cryptomining pullulent sur la plate-forme Android. L’éditeur de sécurité russe Kaspersky a découvert un trojan mobile multifonction particulièrement retord baptisé Loapi. Doté d’une architecture modulaire complexe, ce malware se propage via des campagnes publicitaires en se faisant passer pour une solution antivirus ou une application pour adulte. Le trojan, qui inclut plusieurs modules, dont un de minage de Moneros, est si puissant qu’il peut exploiter les ressources des smartphones infectés jusqu’à déformer leur batterie et les détruire, du jamais vu ! Des plug-ins web peuvent également être détournés pour mener des campagnes de minage.

Des centaines de sites institutionnels britanniques, américains ou encore français ont récemment été affectés par un code malveillant inséré dans un plug-in de la société Texthelp pour miner illégalement de la cryptomonnaie Monero sur le dos des institutions. Sans oublier les kits d’exploitation RIG qui ont également diffusé des cryptomineurs par le biais d’un malware dénommé SmokeLoader. Ces derniers constituent actuellement l’une des charges utiles les plus utilisées par les hackers pour mener des attaques de téléchargement drive-by. Les cybercriminels expérimentent toutes sortes de méthodes pour trouver de nouveaux stratagèmes et maximiser leurs profits.

Sur son blog, Kaspersky estime qu’un malware de minage comme WannaMine a généré des revenus d’environ 2 millions de dollars. Toujours selon l’éditeur, des botnets particulièrement élaborés auraient même rapporté plus de 7 millions de dollars à leurs auteurs.

 

Pour chaque nouvelle menace, les ingénieurs de Symantec doivent trouver de nouvelles parades et adapter leurs outils de détection à leurs spécificités.

Un impact qui fait débat

Tous les éditeurs de sécurité s’accordent à dire que le cryptojacking a désormais détrôné les ransomwares, et qu’il va s’installer durablement dans le paysage des cybermenaces. Comparativement à des ransomwares, qui prennent en otage les données des utilisateurs pour exiger une rançon contre leur restitution, ou des malwares qui subtilisent des données sensibles, les cryptomineurs font à priori moins de dégâts et se révèlent de ce fait parfois difficiles à détecter. Laurent Heslault, directeur des stratégies sécurité chez Symantec France, explique comment les éditeurs de sécurité doivent s’adapter : « Les cryptomineurs ne sont pas réellement “ malveillants ”, c’est pour cela que chez Symantec, on les appelle des PUA, pour Potentially Unwanted Applications, ou Programmes potentiellement indésirables. Comme ils ne font rien de “ mal ”, tous les logiciels de sécurité n’ont pas forcément la capacité de les détecter. Symantec a dû adapter la détection à cette nouvelle forme de menace. Les mineurs constituent des programmes non désirés qu’il faut certes bloquer, mais la principale difficulté réside dans le fait qu’ils ne volent rien, ne font pas de phishing, ne provoquent pas de pannes comme peuvent le faire les programmes malveillants traditionnels. »

 

En fonction des attaques, de leurs ampleurs et de leurs persistances, les conséquences pour les entreprises pourraient être très importantes. « Avec les cryptomineurs, les factures d’électricité des entreprises peuvent rapidement augmenter. Si vous avez plusieurs milliers de postes qui consomment d’un coup ne serait-ce que 20 % de plus, cela peut commencer à faire mal. Les tests que nous avons menés chez Symantec montrent que cela peut également ralentir de manière relativement considérable la productivité des employés. Il n’y a pas de règles, mais avec certains cryptomineurs, nous avons pu constater que Excel pouvait être 5 à 10 fois plus lent à lancer. C’est une perte de productivité directe non négligeable, sans oublier que vous avez quand même un logiciel qui ne vous appartient pas sur votre infrastructure. Rien ne dit que demain à l’occasion d’une mise à jour, un cryptomineur ne se décide à faire du ransomware… C’est comme une tête de pont qui peut tout à fait servir à autre chose », ajoute Laurent Heslault.

Des mesures indispensables

Les importantes ressources matérielles des entreprises et des institutions publiques en font désormais une cible de choix pour les cybercriminels. Outre les postes Windows, les terminaux Android sont particulièrement touchés. Au premier trimestre 2018, les mineurs visant l’OS mobile de Google ont augmenté de 4 000 % par rapport au trimestre précédent. Contrairement aux idées reçues, les Mac ne sont pas épargnés. Malwarebytes a détecté plus de 1 000 mineurs malveillants sous la forme d’extensions de navigateurs et d’applications de cryptomining entre les mois de janvier et mars 2018. Pour se prémunir du cryptojacking comme des autres menaces, les entreprises doivent mettre en place une solution de sécurité globale multiniveau.

La surveillance de l’utilisation de leurs ressources et le blocage de l’exécution automatique du JavaScript doivent désormais figurer aux premières places des mesures de sécurité à prendre pour lutter en particulier contre le cryptojacking. Une menace qui n’est vraisemblablement pas près de faiblir dans les mois, voire les années à venir…


« On commence à avoir de plus en plus de cryptomineurs  très sophistiqués qui fonctionnent de manière invisible  afin d’utiliser les ressources des postes compromis  le plus longtemps possible »
Nicolas Sterckmans, Senior Sale Engineer chez Malwarebytes.

 

« Au départ, il était très simple de détecter un cryptomineur. Ils étaient faits un peu à la va-vite et utilisaient 100 % du CPU. Maintenant, on a des choses beaucoup plus élaborées et discrètes qui se contentent d’exploiter 10, 15 à 20 % de la puissance de calcul des terminaux. C’est ce qu’on a pu voir avec l’application Badle Pricom sur Android, qui fournissait des écrans de veille. Elle dissimulait un bitcoin miner qui vérifiait en permanence l’état de la batterie, la connectivité, si le téléphone était allumé, etc., pour éviter de se faire repérer. Il ne se lançait par exemple que lorsqu’il y avait plus de 50 % de la batterie et que si la réception réseau était bonne. On commence à détecter des cryptomineurs de plus en plus sophistiqués qui fonctionnent de manière invisible afin d’utiliser les ressources des postes compromis le plus longtemps possible. Les cybercriminels sont encore en phase de tests et ils regardent toute l’étendue de ce qu’ils peuvent faire. Au mois de février dernier, un opérateur européen d’infrastructure critique d’épuration des eaux avec des Scada a été infecté (ndlr : premier exemple connu d’un logiciel malveillant de cryptominage ayant été utilisé contre un système de contrôle industriel). Il n’y a pas encore de chiffres officiels sur les montants que ces campagnes de minage rapportent réellement, mais elles rapportent beaucoup plus que les éléments malveillants qui utilisaient jusqu’à présent votre machine pour faire de la fraude au clic – ou malware teasing… »

 

4071

x
hardcore black fuck malay hijab fuck big black dick
Rechercher dans les dossiers

Actuellement à la Une...
Le géant des paiements en ligne explorerait plusieurs options qui lui permettrait de se lancer dans les devises virtuelles. Il est en discussion avec BitGo, une plateforme de stockage sécurisée de Bitcoin, et un accord pourrait être annoncé dans les prochaines semaines. 

Le bras armée dans la cybersécurité de l’opérateur historique pourrait prochainement être introduit en bourse. Pour Orange, il s’agit de reverdir son cours, qui en a bien besoin depuis la fin de l’année dernière en valorisant l’une de ses branches les plus performantes.

L’éditeur d’une solution de services de fichiers rend publique une nouvelle version de sa plate-forme, la 7.0, qui se démarque par ses performances et sa simplification de la migration des données.

L’ESN vient d’annoncer coup sur coup trois rachats. Si Atos met la main sur SEC Consult pour étoffer son offre de conseil en cybersécurité, il s’empare surtout de deux spécialistes de Salesforce, le Français Edifixio et l’Américain Eagle Creek. 

L’éditeur de solutions de gestion des données et d’analytique a annoncé son intention de racheter Infomation Builders, un autre éditeur dans le domaine de l’analyse des données.

Toutes les autres News
LIVRES BLANCS

Aujourd'hui, les Directeurs Comptables et Financiers ont envie de dématérialiser leurs factures fournisseurs. C'est plutôt l'idée de devoir s'intégrer à un environnement multi-ERP déjà existant qui les freine. Mais est-ce réellement une barrière ? Dans son nouveau Livre Blanc, Esker explore ce sujet. En le téléchargeant, vous découvrirez comment la dématérialisation peut être une aubaine plutôt qu'un fardeau.


Actuellement, il existe un gouffre entre les environnements informatiques traditionnels des entreprises et le cloud public. Tout diffère : les modèles de gestion, de consommation, les architectures applicatives, le stockage, les services de données.


Les avantages de l’architecture hyperconvergée étant de plus en plus reconnus, de nombreuses entreprises souhaitent l’utiliser pour des types d’applications variés. Cependant, son manque de souplesse pour une mise à niveau des ressources de calcul indépendantes de celles de stockage ne lui permet pas d’être utilisée plus largement.

Au cours de l’événement HPE Discover qui s’est tenu en juin 2019, HPE a répondu à cette préoccupation en présentant la plateforme HPE Nimble Storage dHCI.

Ce Livre Blanc IDC se penche sur les exigences du marché ayant stimulé le besoin de solutions HCI plus flexibles, puis il examine brièvement la solution HPE Nimble Storage dHCI en expliquant pourquoi elle répond à ce besoin.


Découvrez dans ce livre blanc, les avantages des toutes nouvelles solutions NETGEAR, pour simplifier et rentabiliser vos déploiements, et gérer votre réseau à distance, où que vous soyez, au bureau ou en télé-travail.


Tous les Livres Blancs