Une nouvelle génération de malwares s’installe discrètement sur les périphériques des utilisateurs et dans les datacenters. Leur but : subtiliser de l’électricité et de la bande passante afin de miner des cryptomonnaies comme Monero.
Selon une étude réalisée par Darktrace, jeune pousse britannique spécialisée dans la cybersécurité, les cyber-attaques à visée financière ayant adopté une approche furtive « lente et de faible intensité » ont pris le pas sur les attaques par ransomware. Désormais, en effet, c’est le principal modus operandi choisi par les criminels qui cherchent à extorquer de l’argent à l’aide de malwares pratiquant le minage de cryptomonnaies. Si des ransomwares comme WannaCry ont tenu le haut du pavé, faisant des ravages au Royaume-Uni, en Europe et en Amérique, une nouvelle génération de malwares s’installe discrètement sur les appareils des utilisateurs et dans les datacenters pour voler de l’électricité et de la bande passante et miner des cryptomonnaies comme Monero. Darktrace constate que, depuis 2018, le nombre de malwares transportant des charges utiles pour le minage de cryptomonnaies n’a cessé de croître, et note également le retour des Trojans bancaires.
Lors d’une interview avec nos confrères de Computerworld UK, Max Heinemeyer, directeur de la chasse aux menaces chez Darktrace, a déclaré que l’entreprise avait observé « des formes très créatives de crypto jacking en cours d’utilisation ». Ce changement s’explique peut être, selon lui, par le fait que les victimes de ransomwares n’étaient pas assez au fait de la technologie pour aller sur Tor et faire des paiements en bitcoins, entrainant une baisse de revenus pour les cybercriminels. « Une approche lente et de faible intensité, plus discrète, exploitant le minage de cryptomonnaie peut s’avérer plus efficace en terme de profit », a déclaré Max Heinemeyer. Ce dernier a raconté que Darkrace avait même trouvé un dispositif de minage dans le datacenter d’une grande banque européenne, installé par un administrateur système pour en exploiter les capacités et extraire de la cryptomonnaie.
Monero relativement facile à miner
Autre exemple, celui d’une entreprise britannique, dans laquelle la variante d’un malware de cryto mining s’est répandue latéralement en quelques minutes après le premier courriel de phishing, et où un cheval de Troie a réussi à infecter plus de 400 dispositifs. « Les malwares d’extraction de cryptomonnaies que nous avons repérés font en sorte de ne pas tourner à pleine puissance pour éviter de surchauffer les ordinateurs, de faire tourner le ventilateur à 100 %, en bref de faire trop de bruit », a encore déclaré M. Heinemeyer. Contrairement au bitcoin, le Monero est relativement facile à extraire à partir d’un matériel de base. Il est donc plus facile d’extraire la monnaie à partir d’un ordinateur portable et aussi plus rentable. « Nous avons identifié tellement de variantes de malwares, de modes de propagation différents et de charges utiles qu’on peut dire qu’il y a beaucoup d’acteurs sur le marché du minage de cryptomonnaies, d’autant que, aujourd’hui, le ticket d’entrée pour créer son propre malware de crypto mining est devenu très accessible », a-t-il ajouté.
La fraude à la carte de crédit est plus contraignante, car pour éviter que les autorités judiciaires soient alertées immédiatement, les criminels doivent entretenir des réseaux de blanchiment d’argent avec des intermédiaires chargés d’acheter des produits de luxe avec les données volées. Le ransomware était « un bon filon de monétisation ». Mais l’extraction de crypto monnaie vient « enrichir l’arsenal des cybercriminels », a déclaré Max Heinemeyer. Même si le minage de crytomonnaie n’est pas aussi manifestement dommageable pour la victime, il est tout aussi dangereux que d’autres attaques, car une fois qu’une machine est compromise, le malware peut ouvrir d’autres portes dérobées et se transformer plus tard en cheval de Troie pour voler des données de cartes de crédit. « Le risque reste toujours énorme, en plus du vol d’électricité et du vol de puissance de calcul », a déclaré M. Heinemeyer.
Le cas épineux de la vidéosurveillance
Ce nouveau rapport, lié au lancement des « modules de réponse cyber IA » d’Antigena de Darktrace, comprend également quelques exemples d’attaques observés par le fournisseur. Le rayon d’action des modules Antigena dépasse le réseau interne de l’entreprise, pour atteindre le cloud public (en particulier AWS et Azure), jusqu’à inclure Office 365 et d’autres applications SaaS. Dans une société de conseil en investissement japonaise, Darktrace a constaté que le système de vidéosurveillance connecté à Internet avait été compromis, c’est-à-dire que les criminels pouvaient voir tout ce qui se passait dans la société, y compris dans le bureau du CEO et dans la salle du conseil. Cependant, Darktrace affirme que ses algorithmes ont pu détecter un comportement inhabituel sur le serveur de vidéosurveillance non crypté, repérant que de grandes quantités de données étaient envoyées vers une adresse Web inconnue. Antigena a bloqué l’envoi de données vers les serveurs externes tout en permettant à la caméra de fonctionner comme prévu.
Max Heinemeyer a expliqué que « la plupart des outils de sécurité existants ne pouvaient pas repérer le trafic malveillant d’une caméra de vidéosurveillance, parce qu’ils n’avaient pas de règle pour cela ». Il affirme que grâce à l’IA d’Antigena, le système peut se défendre de manière autonome, sans avoir à attendre qu’un intervenant humain analyse la situation et valide une procédure de défense. « L’IA arrête le trafic au moment où il repère la diffusion des données. S’il estime qu’une caméra de vidéosurveillance a été compromise, il va renforcer la sécurité sur toutes les autres caméras de vidéosurveillance. D’une part, il va augmenter la sécurité des opérations normales, mais il va aussi bloquer le trafic sur la caméra sur laquelle il a repéré un comportement inhabituel. L’exfiltration des données a donc été arrêtée, mais la caméra peut toujours être utilisée en interne par l’équipe de vidéosurveillance ».
Pour en savoir plus: