Le cryptojacking via des vulnérabilités existantes : un problème croissant

0
234

La vulnérabilité Log4shell ayant été au cœur de l’actualité, notamment en fin d’année 2021, continue d’être exploitée. Récemment, des articles ont été publiés à propos de cybercriminels exploitant cette vulnérabilité Log4shell pour secrètement miner des crypto sur un système informatique fédéral.

Tribune – La distribution de mineurs à travers des vulnérabilités non corrigées est une problématique croissante et les experts de Kaspersky en ont d’ailleurs parlé lors de leur dernier rapport sur le cryptojackingEn réponse à cette actualité, Dmitry Kondratyev, expert en sécurité chez Kaspersky fait les commentaires suivants.

Les cybercriminels exploitent-ils souvent des vulnérabilités pour faire du minage ?

Les vulnérabilités non corrigées posent un sérieux problème aux utilisateurs, tout en attirant les cybercriminels qui les exploitent pour propager des activités malveillantes. Si l’on évoque souvent les ransomwares exploitant les vulnérabilités, le minage gagne également en popularité auprès des cybercriminels. En effet, on observe en 2022 une augmentation de la part de logiciels de minage diffusés par le biais de vulnérabilités bien connues, notamment Log4j. Cette année, près d’une attaque sur sept exploitant de telles vulnérabilités était accompagnée d’une infection par minage. Au troisième trimestre, le minage s’est encore plus répandu que les portes dérobées (backdoor), qui sont restées le choix privilégié des cybercriminels tout au long du premier semestre 2022.

Pourquoi les cybercriminels ont-ils recours au cryptojacking ?

L’extraction de crypto-monnaies est un processus laborieux et coûteux, mais aussi très gratifiant, d’où l’intérêt que lui portent les cybercriminels. Gagner de l’argent en pratiquant le minage de crypto-monnaies est rentable pour les cybercriminels – ils ne paient pas d’équipement, ni d’électricité. Ils installent un logiciel de minage sur l’ordinateur de la victime pour utiliser sa puissance de traitement sans le consentement de l’utilisateur. Cela ne nécessite pas beaucoup d’expertise technique spécialisée. En fait, tout ce que l’attaquant doit savoir, c’est comment placer un script de minage à l’aide d’un code source ouvert, ou savoir où en acheter un. Si le logiciel malveillant de cryptomining est installé avec succès sur l’ordinateur de la victime, il procure à son opérateur des revenus réguliers.

Pourquoi une agence n’aurait-elle pas installé de correctif contre le L4S – est-ce si difficile dans certains cas dans le secteur public ?

La correction d’une vulnérabilité nécessite du temps et de l’argent. Certaines organisations sous-estiment les dommages potentiels causés par les attaques d’exploitation des vulnérabilités, espérant que les menaces ne les cibleront pas. En outre, il s’agit d’un travail répétitif et routinier (de nombreux correctifs doivent être installés manuellement) qui peut donner lieu à des erreurs. Tous ces facteurs peuvent affecter la sécurité des systèmes de l’organisation.

Log4j constitue-t-il toujours une menace pour les utilisateurs et les entreprises ?

Comme le montre notre télémétrie, les cybercriminels continuent d’exploiter la vulnérabilité Log4j à des fins malveillantes. Elle est exploitée à la fois par des acteurs de la menace avancée qui ciblent des organisations spécifiques, et par des hacktivistes simplement à la recherche de tout système vulnérable à attaquer. Nous demandons à tous ceux qui ne l’ont pas encore fait de se mettre à jour et d’utiliser une solution de sécurité forte pour se protéger.

Les produits Kaspersky protègent contre les attaques exploitant les vulnérabilités, y compris l’utilisation de PoCs sous les noms suivants :

  • UMIDS:Intrusion.Generic.CVE-2021-44228.
  • PDM:Exploit.Win32.Generic.

Pour se prémunir contre cette nouvelle vulnérabilité, les experts de Kaspersky recommandent :

  • D’installer la version la plus récente de la bibliothèque. Vous pouvez la télécharger sur la page du projet. Si vous utilisez la bibliothèque d’un produit tiers, vous devrez surveiller et installer les mises à jour d’un fournisseur de logiciels.
  • En suivant les directives du projet Apache Log4j : https://logging.apache.org/log4j/2.x/security.html 
  • Les entreprises utilisent une solution de sécurité qui fournit des composants de prévention de l’exploitation des vulnérabilités et de gestion des correctifs, comme Kaspersky Endpoint Security for Business. Le composant Automatic Exploit Prevention de Kaspersky surveille également les actions suspectes sur les applications et bloque les exécutions de fichiers malveillants.
  • Utiliser des solutions telles que Kaspersky Endpoint Detection and Response et Kaspersky Managed Detection and Response, qui permettent d’identifier et d’arrêter les attaques à un stade précoce, avant que les attaquants ne parviennent à leurs fins.