Minage de cryptomonnaie : les cybercriminels visent maintenant les datacenters

Bitdefender travaille depuis les 6 derniers mois (Sseptembre 2017 à février 2018) sur l’évolution des mineurs de cryptomonnaies. L’étude qui en découle souligne comment les attaquants sont passés des ransomwares aux mineurs de monnaies afin de générer plus de revenus, et comment cette tendance affectera très bientôt les datacenters avec des conséquences lourdes pour les entreprises qui règleront des factures lourdes...

Plus la quantité de cryptomonnaie extraite est importante, plus le processus devient gourmand en ressources. Cela empêche les cybercriminels de cibler et de contrôler des groupes d’utilisateurs individuels. Les grands centres de données et les infrastructures cloud devraient donc être les prochains sur la liste, puisque leur puissance de calcul élastique permet aux cybercriminels de créer et de contrôler virtuellement d’immenses fermes d’extraction sans payer aucune facture.

Les datacenters permettent généralement aux entreprises d’adapter leurs activités en les laissant optimiser leurs coûts et leurs ressources informatiques en fonction de leurs besoins immédiats. Toutefois, si les infrastructures virtuelles sont compromises et que les administrateurs cloud perdent leurs données d’authentification en raison d’attaques par recherche, d’attaques d’ingénierie sociale ou de failles de sécurité non corrigées, les cybercriminels prennent le contrôle. Partant de là, il leur suffit simplement de faire tourner des instances virtuelles véreuses, puissantes et gourmandes en ressources sur lesquelles a été préinstallé un malware d’extraction de cryptomonnaie.

Dans la mesure où la détection d’hôtes virtuels véreux peut prendre plusieurs semaines – voire se produire au moment de l’arrivée de la facture – les pirates auront déjà extrait l’équivalent de dizaines voire de centaines de milliers de dollars en cryptomonnaie lorsque l’entreprise affectée sera tenue de régler la facture de services/d’électricité.

Comme l’ont prouvé de récents évènements, l’exploitation de la vulnérabilité EternalBlue pour infecter des serveurs Windows ne représente qu’une façon parmi d’autres pour les cybercriminels d’accéder rapidement à d’importantes ressources de calcul. Même la vulnérabilité connue sous le nom d’Apache Struts (CVE-2017-9805[1]) affectant le plug-in Struts REST en s’appuyant sur XStream et exploitée lors de la violation de données Equifax[2] aurait été utilisée par des cybercriminels pour compromettre des machines sous Linux et gagner de la persistance sur celles-ci.

Les exploits en cascade et les outils de persistance œuvrent ensemble à la compromission des serveurs et se propagent automatiquement sur les réseaux, permettant aux auteurs de menaces d’implanter un logiciel d’extraction et d’exploiter la puissance de calcul du cloud.

Les nouvelles attaques de cryptojacking sont capables de mieux dissimuler leurs traces en limitant la pression exercée sur le CPU. En exploitant PowerShell, des scripts ou des exploits avancés afin d’éviter la détection sur les endpoints, les attaquants peuvent exécuter efficacement un logiciel d’extraction directement au sein de la mémoire du serveur ciblé. Dans la mesure où une mise à jour de serveur est toujours un facteur déterminant pour une entreprise et dès lors que l’attaque ne fait pas tourner le CPU à pleine vitesse, il peut rester invisible pendant une très longue période.

Les attaquants, qui ne manquent pas d’imagination, peuvent utiliser n’importe quelle technique d’attaque, que ce soit côté client ou côté serveur, pour déployer leur charge utile et commencer l’extraction en détournant les ressources informatiques d’une entreprise.

Lien vers le l’étude complète  : https://www.bitdefender.com/files/News/CaseStudies/study/196/Bitdefender-Whitepaper-Cryptocurrency-Mining-Craze-Going-for-Data-Centers-2018.pdf

[1] NIST, CVE-2017-9805 Detail, septembre 2017
[2] Apache Software Foundation, Apache Struts Statement on Equifax Security Breach, septembre 2017