Comme vous le savez, le cryptojacking est une nouvelle forme de menace pour la cybersécurité et la protection des données personnelles. Face à la montée en puissance de ce phénomène, Bitdefender, l’un des célèbres éditeurs de solutions antivirus, s’est intéressé durant ces six derniers mois (de septembre 2017 à février 2018) à l’évolution des mineurs de cryptomonnaies. Les résultats découlant de cette étude montrent comment les attaquants sont aujourd’hui passés des ransomwares aux mineurs de monnaies, cela dans l’optique de générer des revenus plus importants. Bitfinder, à travers cette étude, s’est également intéressé à la manière dont cette tendance affectera très bientôt les centres de données (datacenters) ainsi que les infrastructures cloud, ce qui se traduira par des conséquences relativement lourdes pour les entreprises qui régleront des factures assez importantes.
En effet, plus la quantité de cryptomonnaies extraite est importante, plus le processus devient gourmand en ressources. Cette situation, à en croire Bitdefender, ne serait donc pas favorable aux cybercriminels, car cela les empêche de cibler et de contrôler des groupes d’utilisateurs individuels. Face à ce problème, Bitdefender soutient que les grands centres de données (datacenters) et les infrastructures cloud devraient donc être les prochains sur la liste, cela puisque leur puissance de calcul élastique permet aux cybercriminels de créer et de contrôler virtuellement d’immenses fermes d’extraction sans payer la moindre facture.
« Les datacenters permettent généralement aux entreprises d’adapter et développer leurs activités en les laissant optimiser leurs coûts et leurs ressources informatiques en fonction de leurs besoins immédiats. Toutefois, si les infrastructures virtuelles sont compromises et que les administrateurs cloud perdent leurs données d’authentification en raison d’attaques par recherche, d’attaques d’ingénierie sociale ou de failles de sécurité non corrigées, les cybercriminels prennent le contrôle. Partant de là, il leur suffit de faire tourner des instances virtuelles véreuses, puissantes et gourmandes en ressources sur lesquelles a été préinstallé un malware d’extraction de cryptomonnaies », déclare Bitdefender. Ce dernier ajoute que les pirates auront déjà extrait l’équivalent de plusieurs dizaines, voire de centaines de milliers de dollars en cryptomonnaies lorsque l’entreprise affectée sera tenue de régler la facture de services/d’électricité , et cela résulte du fait que la détection d’hôtes virtuels véreux peut souvent prendre plusieurs semaines – voire se produire au moment de l’arrivée de la facture.
Poursuivant son argumentaire, l’éditeur de solutions antivirus en l’occurrence Bitdefender soutient, comme cela a été prouvé par les récents événements, que l’exploitation de la vulnérabilité EternalBlue pour infecter des serveurs Windows ne représente qu’une façon parmi d’autres pour les cybercriminels d’accéder rapidement à d’importantes ressources de calcul. Rappelons qu’EternalBue est un exploit basé sur une faille dans le protocole Server Message Block (SMB) utilisé pour le partage de ressources (fichiers et imprimantes) sur des réseaux locaux avec des PC sous Windows.
Selon les experts en sécurité de Bitdefender, les exploits en cascade et les outils de persistance œuvrent ensemble à la compromission des serveurs et se propagent automatiquement sur les réseaux, permettant ainsi aux auteurs de menaces d’implanter un logiciel d’extraction et d’exploiter la puissance de calcul du cloud. Pour ces experts, les nouvelles attaques de cryptojacking sont aujourd’hui capables de mieux dissimuler leurs traces en limitant la pression exercée sur le CPU. « En exploitant PowerShell, des scripts ou des exploits avancés afin d’éviter la détection sur les endpoints, les attaquants peuvent exécuter efficacement un logiciel d’extraction directement au sein de la mémoire du serveur ciblé. Dans la mesure où une mise à jour de serveur est toujours un facteur déterminant pour une entreprise et dès lors que l’attaque ne fait pas tourner le CPU à pleine vitesse, il peut rester invisible pendant une très longue période ». Ces derniers ajoutent que les attaquants, qui ne manquent pas d’imagination, peuvent utiliser n’importe quelle technique d’attaque, que ce soit côté client ou côté serveur, pour déployer leur charge utile et commencer l’extraction en détournant les ressources informatiques d’une entreprise.