Qu’est-ce que le cryptopiratage ?
Le cryptopiratage est l’utilisation non autorisée des ressources informatiques d’un particulier ou d’une entreprise pour le minage de cryptomonnaie.
Les programmes de cryptopiratage peuvent être des malwares, ou logiciels malveillants, installés sur l’ordinateur d’une victime par le biais d’une opération de phishing, de sites web infectés ou d’autres méthodes typiques des attaques de logiciels malveillants. Il peut également s’agir de petits éléments de code insérés dans des publicités numériques ou des pages web qui ne s’exécutent que lorsque la victime visite un site web particulier.
Quels avantages les cryptopirates en retirent-ils ?
Le minage de cryptomonnaie nécessite une énorme puissance de calcul, ainsi que de l’électricité pour utiliser cette puissance. Il existe de nombreux mineurs de cryptomonnaie légitimes qui utilisent leur propre équipement et en assument les coûts non négligeables. Les cybercriminels qui se livrent au minage malveillant de cryptomonnaie utilisent en toute discrétion les systèmes d’autres utilisateurs pour récolter les bénéfices de l’opération sans en supporter les dépenses.
VOUS SOUHAITEZ GARDER UNE LONGUEUR D'AVANCE SUR LES CYBERADVERSAIRES ?
Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.
TéléchargerComment fonctionne un programme de cryptopiratage ?
Dans le cadre d’une transaction financière traditionnelle autre qu’en espèces, un commerçant envoie une transaction à une banque d’affaires, qui la transfère à son tour à un service de traitement des paiements, lequel la transmet enfin à une banque émettrice. Tout au long de ce processus, les différentes parties vérifient la transaction par rapport à leurs dossiers afin de s’assurer qu’elle est conforme à leurs critères (compte suffisamment approvisionné, transaction dans les limites de crédit du titulaire de la carte, éventuels frais de transaction, etc.), puis l’approuvent ou la refusent.
Les blockchains ne dépendent d’aucun registre centralisé. Elles font appel à des registres distribués présents sur les réseaux P2P (peer-to-peer), de sorte qu’aucune autorité centralisée n’approuve ou ne refuse les transactions. Au lieu de cela, chaque transaction est chiffrée et ajoutée à une liste de transactions en attente d’être associées à une blockchain. Chaque ensemble de listes constitue un « bloc » qui doit être associé à des blocs existants. On appelle « minage » l’ajout de blocs à la blockchain.
Les nouveaux blocs doivent être vérifiés, et c’est là qu’entre en jeu le minage de cryptomonnaie : pour éviter que des cyberpirates contournent le système ou lancent des attaques par déni de service, il convient de mettre en place une barrière pour compliquer l’ajout d’un bloc à la blockchain. Cette barrière peut prendre la forme d’énigmes mathématiques arbitraires à résoudre pour valider et ajouter un bloc à la blockchain. Le premier mineur de cryptomonnaie à résoudre l’une des énigmes est récompensé en cryptomonnaie.
Certains types de cryptomonnaie sont plus faciles à miner que d’autres et sont donc privilégiés par les pirates. Monero, par exemple, peut être minée sur n’importe quel ordinateur de bureau, ordinateur portable ou serveur, alors que le minage de bitcoins nécessite du matériel spécialisé coûteux. Les opérations de minage peuvent également être menées sur un terminal mobile, un terminal IoT et un routeur.
Les mineurs de cryptomonnaie peuvent combiner leur logiciel malveillant de cryptopiratage avec d’autres types de malwares, tels qu’un ransomware. Lorsqu’un utilisateur clique sur un lien malveillant ou ouvre une pièce jointe infectée, deux programmes sont téléchargés : un programme de cryptopiratage et un programme de ransomware. Le cyberattaquant évalue le système ciblé en fonction de sa configuration logicielle et matérielle, ainsi que de ses défenses antimalware, puis choisit l’attaque la plus lucrative : le cryptopiratage ou une attaque de ransomware.
Dans certains cas, aucun programme n’est installé. Un petit élément de code de minage de cryptomonnaie peut par exemple être incorporé dans un site web, un plug-in WordPress ou une publicité et s’exécuter automatiquement dans le navigateur des visiteurs.
Une attaque de cryptopiratage peut également être menée dans le cloud. Dans ce cas, le cyberattaquant commence par voler des identifiants, puis installe ses scripts dans l’environnement cloud.
Conséquences du cryptopiratage
Pour un particulier utilisant son ordinateur portable à des fins personnelles, le cryptopiratage se traduit par un ralentissement de l’ordinateur et une augmentation de la facture d’électricité. Pour une entreprise, les dégâts sont bien plus importants. Le ralentissement des performances entraîne une baisse de la productivité, des plantages du système, des temps d’arrêt générant des coûts et portant atteinte à la réputation, ainsi qu’une diminution des performances des serveurs sophistiqués coûteux. Le détournement des ressources de l’entreprise de leurs utilisations prévues afin de servir les intérêts des mineurs de cryptomonnaie entraîne également une augmentation des dépenses opérationnelles.
En outre, la présence d’un logiciel de minage de cryptomonnaie sur le réseau est le signe d’un problème de cybersécurité plus grave : si un cyberpirate peut contourner les défenses de l’entreprise pour introduire un logiciel de minage de cryptomonnaie, il peut également injecter d’autres codes malveillants dans l’environnement.
Exemples de cryptopiratage
Coinhive
Bien qu’il ne soit plus actif, Coinhive a joué un rôle majeur dans l’essor du cryptopiratage. Coinhive était distribué depuis un navigateur web et chargeait un fichier JavaScript sur les pages des utilisateurs. Ce script de cryptopiratage était incontournable jusqu’à ce que ses opérateurs l’abandonnent en raison d’une chute du taux de hachage provoquée par un fork de Monero, ainsi que d’une baisse du marché des cryptomonnaies rendant le cryptopiratage moins lucratif.
WannaMine v4.0
Tout comme ses prédécesseurs, WannaMine v4.0 utilise l’exploit EternalBlue pour compromettre des hôtes. Il stocke les fichiers binaires de l’exploit EternalBlue dans un répertoire C:\Windows appelé « Network Distribution ». Cette variante de WannaMine génère de façon aléatoire un fichier .dll et un nom de service à partir d’une liste de chaînes codées en dur. C’est ainsi qu’il assure sa persistance sur l’hôte.
BadShell
BadShell est un logiciel malveillant sans fichier qui n’implique aucun téléchargement. Il utilise des processus Windows natifs, tels que PowerShell, le Planificateur de tâches et le Registre, ce qui le rend particulièrement difficile à détecter.
Graboid
Graboid est un ver de cryptopiratage qui se propage via des conteneurs Docker Engine (Community Edition). Dans la mesure où les solutions traditionnelles de protection des endpoints n’inspectent pas l’activité à l’intérieur des conteneurs, Graboid peut échapper à toute détection.
PowerGhost
PowerGhost est un autre script de logiciel malveillant sans fichier qui utilise des outils Windows natifs pour infecter des postes de travail et des serveurs dans des réseaux d’entreprise. Il s’implante dans l’environnement par le biais d’outils d’accès à distance ou d’exploits.
FacexWorm
FacexWorm utilise des techniques d’ingénierie sociale pour inciter des utilisateurs de Facebook Messenger à cliquer sur un faux lien YouTube. Le faux site invite l’utilisateur à télécharger une extension de Chrome pour visualiser le contenu, mais, en réalité, cette extension pirate les comptes Facebook de la victime afin de distribuer le lien à son réseau d’amis. FacexWorm ne se contente pas de pirater les systèmes des utilisateurs à des fins de minage de cryptomonnaie : il intercepte également leurs identifiants lorsqu’ils se connectent à des sites spécifiques, tels que Google et MyMonero, redirige les utilisateurs qui tentent d’accéder à des plateformes d’échange de cryptomonnaie légitimes vers de fausses plateformes réclamant le paiement d’une petite somme en cryptomonnaie dans le cadre du processus de vérification de l’identité, et redirige les utilisateurs vers d’autres sites malveillants.
Black-T
Black-T cible les clients AWS en utilisant des API exposées du démon Docker. Le logiciel malveillant est également capable d’utiliser des outils d’analyse pour identifier d’autres API exposées du démon Docker afin d’étendre ses opérations de cryptopiratage.
Protection contre le cryptopiratage
Défis
Les équipes de sécurité limitées en ressources et en visibilité peinent à se protéger du cryptopiratage, dans la mesure où elles doivent :
- Identifier l’événement et comprendre le vecteur d’attaque. L’utilisation de plus en plus fréquente d’outils légitimes et d’attaques sans fichier complique singulièrement cette tâche.
- Bloquer la compromission en cours et corriger rapidement les systèmes. Les équipes de sécurité doivent bloquer l’incident en cours, puis corriger les systèmes au plus vite. Cela nécessite bien souvent de procéder à une investigation manuelle et à la restauration de l’image système des machines, deux tâches très gourmandes en ressources.
- Tirer les enseignements de l’attaque et combler les failles de sécurité. Une fois l’incident clôturé, les équipes de sécurité doivent comprendre ce qui s’est passé et pourquoi, de même que veiller à ce qu’un tel incident ne se reproduise pas.
Conseils
Le cryptopiratage est une menace pour la productivité et la sécurité des entreprises. Pour s’en prémunir, celles-ci doivent prendre diverses mesures :
- Adopter une bonne hygiène en matière de sécurité. L’hygiène IT est indispensable à la sécurité. Pour optimiser la sécurité, il convient d’appliquer régulièrement les correctifs publiés aux applications et systèmes d’exploitation vulnérables et de protéger les comptes utilisateur à privilèges.
- Déployer une plateforme de protection des endpoints (EPP) de nouvelle génération. Les entreprises doivent être en mesure de prévenir et de détecter toutes les menaces, y compris les logiciels malveillants connus et inconnus, et d’identifier les attaques en mémoire. Pour prévenir les attaques et bénéficier d’une visibilité totale sur leur environnement, elles ont besoin d’une solution incluant un antivirus de nouvelle génération, ainsi qu’un outil de détection et d’intervention sur les endpoints (EDR).
Selon Gartner, pour protéger efficacement les endpoints, il convient de déployer une solution dotée d’un antivirus de nouvelle génération et de fonctionnalités EDR. La plateforme CrowdStrike Falcon est une véritable solution EPP de nouvelle génération, conçue pour détecter les indicateurs comportementaux d’attaque furtifs, que le logiciel malveillant s’écrive de lui-même sur le disque ou s’exécute uniquement en mémoire.