Minage de cryptomonnaies : Kaspersky Lab identifie un groupe millionnaire

0
91

Selon les chercheurs de Kaspersky Lab, des cybercriminels ont commencé à utiliser des techniques d’infection avancées, empruntées à des attaques ciblées, afin d’installer des logiciels de minage sur des PC d’entreprises. Le groupe le plus performant observé par Kaspersky Lab a ainsi gagné au moins 7 millions de dollars (environ 5,7 millions d’euros) en à peine 6 mois en 2017, en exploitant les machines de ses victimes.

Bien que le marché des cryptomonnaies connaisse une série de hauts et de bas, la montée en flèche l’an passé de la valeur du bitcoin a eu un profond impact, non seulement sur l’économie mondiale, mais aussi sur le monde de la cybersécurité. Ayant pour but d’amasser de la cryptomonnaie, des criminels ont commencé à se servir, dans leurs attaques, de logiciels de minage qui, à l’instar du ransomware, présentent un modèle de monétisation très simple. Cependant, à la différence d’un ransomware, un logiciel de minage ne détruit pas les données des utilisateurs mais exploite la puissance de leur PC en passant inaperçu pendant longtemps. Dès septembre 2017, Kaspersky Lab a enregistré une multiplication de ces « mineurs », qui se sont mis à se propager activement à travers le monde, et a prévu la poursuite du développement de ce phénomène. Les dernières études en date révèlent que cette progression s’est non seulement poursuivie mais même accélérée et étendue.

Les chercheurs de Kaspersky Lab ont récemment identifié un groupe cybercriminel comptant des techniques de menaces persistantes avancées (APT) dans son arsenal d’outils, afin d’infecter les utilisateurs avec des mineurs. La méthode employée – dite « process hollowing » – est généralement employée par des malwares et avait déjà été observée dans certaines attaques ciblées de menaces APT mais jamais encore dans des cas de minage.

L’attaque se déroule de la manière suivante : la victime est incitée à télécharger et installer un logiciel publicitaire dans lequel se cache le programme d’installation du mineur. Ce programme implante un utilitaire Windows authentique, ayant pour principal but de télécharger le mineur proprement dit depuis un serveur distant. Après quoi se lance un processus système légitime dont le code normal est remplacé par du code malveillant. En conséquence, le mineur opère sous couvert d’une tâche banale et il sera impossible à un utilisateur de repérer l’infection. Cette menace est tout aussi difficile à détecter pour les solutions de sécurité. En outre, le mineur fait en sorte que ce nouveau processus ne puisse être interrompu. Si l’utilisateur tente de le faire, l’ordinateur redémarre automatiquement. Les criminels peuvent ainsi rester dans le système plus longtemps et s’assurer de la productivité de leur attaque.

D’après les observations de Kaspersky Lab, les auteurs de ces attaques ont « miné » de la cryptomonnaie Electroneum pour un gain avoisinant les 7 millions de dollars au cours du second semestre 2017, une somme comparable à celles récoltées par les créateurs de ransomware.

« Nous constatons que le ransomware s’estompe, cédant la place aux logiciels de minage. Cette tendance est confirmée par nos statistiques, qui font apparaître une progression constante des mineurs tout au long de l’année, ainsi que par le fait que les groupes cybercriminels développent activement leurs méthodes et ont déjà commencé à employer des techniques plus avancées pour propager ce type de logiciels. Nous avons déjà observé une évolution similaire, les auteurs de ransomware ayant fait appel aux mêmes stratagèmes lorsqu’ils étaient en phase d’expansion », commente Anton Ivanov, analyste principal en malware chez Kaspersky Lab.

Globalement, selon les données de Kaspersky Lab, 2,7 millions d’utilisateurs ont été attaqués par des mineurs malveillants en 2017, soit une hausse d’environ 50 % par rapport à 2016 (1,87 millions). Ces utilisateurs ont été victimes de logiciels publicitaires ou piratés (des jeux, notamment), utilisés par des cybercriminels pour infecter subrepticement leur PC. Une autre méthode est le minage web au moyen d’un code spécial implanté dans une page infectée sur un site. Le mineur web le plus répandu est CoinHive, découvert sur de nombreux sites très fréquentés.

Kaspersky Lab recommande aux utilisateurs les précautions suivantes afin de se protéger de cette menace :

  • Ne pas cliquer sur des sites web inconnus ni sur des bannières ou autres publicités suspectes.
  • Ne pas télécharger ni ouvrir de fichiers inconnus provenant de sources non fiables.
  • Installer une solution de sécurité antivirus fiable qui détecte et pare toutes les menaces possibles, y compris les logiciels de minage malveillants.

Pour les entreprises, les recommandations sont les suivantes :

  • Procéder régulièrement à un audit de sécurité.
  • Installer une solution de sécurité sur tous les postes de travail et serveurs possibles et la mettre à jour régulièrement. Kaspersky Lab propose ainsi Kaspersky Endpoint Security for Business.