La nouvelle menace qui pèse sur les entreprises
Des techniques d’attaques diversifiées
Les cryptomineurs peuvent prendre différentes formes pour se répandre et celles-ci sont de plus en plus élaborées. La méthode la plus répandue consiste à détourner et intégrer dans des applications malveillantes des modules de cryptominage JavaScript développés par CoinHive et des services concurrents créés dans son sillage tels que Coin-Have, AFMine, ou CryptoLoot. Les sites web infectés exécutent alors un code JavaScript qui fait tourner un cryptomineur en exploitant le CPU de toutes les machines qui les visitent. Peu à peu, les cybercriminels se sont mis également à adapter les mêmes méthodes de diffusion des ransomwares au cryptomining. Parmi les attaques détectées par les éditeurs de sécurité, plusieurs tentaient d’exploiter la vulnérabilité EternalBlue qui avait permis la diffusion massive en 2017 des fameux ransomwares WannaCry et Not-Petya.Trojans, plug-in, kits d’exploitation, téléchargement drive-by…
Des applications mobiles malveillantes dissimulant des trojans associés à un programme de cryptomining pullulent sur la plate-forme Android. L’éditeur de sécurité russe Kaspersky a découvert un trojan mobile multifonction particulièrement retord baptisé Loapi. Doté d’une architecture modulaire complexe, ce malware se propage via des campagnes publicitaires en se faisant passer pour une solution antivirus ou une application pour adulte. Le trojan, qui inclut plusieurs modules, dont un de minage de Moneros, est si puissant qu’il peut exploiter les ressources des smartphones infectés jusqu’à déformer leur batterie et les détruire, du jamais vu ! Des plug-ins web peuvent également être détournés pour mener des campagnes de minage. Des centaines de sites institutionnels britanniques, américains ou encore français ont récemment été affectés par un code malveillant inséré dans un plug-in de la société Texthelp pour miner illégalement de la cryptomonnaie Monero sur le dos des institutions. Sans oublier les kits d’exploitation RIG qui ont également diffusé des cryptomineurs par le biais d’un malware dénommé SmokeLoader. Ces derniers constituent actuellement l’une des charges utiles les plus utilisées par les hackers pour mener des attaques de téléchargement drive-by. Les cybercriminels expérimentent toutes sortes de méthodes pour trouver de nouveaux stratagèmes et maximiser leurs profits. Sur son blog, Kaspersky estime qu’un malware de minage comme WannaMine a généré des revenus d’environ 2 millions de dollars. Toujours selon l’éditeur, des botnets particulièrement élaborés auraient même rapporté plus de 7 millions de dollars à leurs auteurs.
Pour chaque nouvelle menace, les ingénieurs de Symantec doivent trouver de nouvelles parades et adapter leurs outils de détection à leurs spécificités.
Un impact qui fait débat
Tous les éditeurs de sécurité s’accordent à dire que le cryptojacking a désormais détrôné les ransomwares, et qu’il va s’installer durablement dans le paysage des cybermenaces. Comparativement à des ransomwares, qui prennent en otage les données des utilisateurs pour exiger une rançon contre leur restitution, ou des malwares qui subtilisent des données sensibles, les cryptomineurs font à priori moins de dégâts et se révèlent de ce fait parfois difficiles à détecter. Laurent Heslault, directeur des stratégies sécurité chez Symantec France, explique comment les éditeurs de sécurité doivent s’adapter : « Les cryptomineurs ne sont pas réellement “ malveillants ”, c’est pour cela que chez Symantec, on les appelle des PUA, pour Potentially Unwanted Applications, ou Programmes potentiellement indésirables. Comme ils ne font rien de “ mal ”, tous les logiciels de sécurité n’ont pas forcément la capacité de les détecter. Symantec a dû adapter la détection à cette nouvelle forme de menace. Les mineurs constituent des programmes non désirés qu’il faut certes bloquer, mais la principale difficulté réside dans le fait qu’ils ne volent rien, ne font pas de phishing, ne provoquent pas de pannes comme peuvent le faire les programmes malveillants traditionnels. »
En fonction des attaques, de leurs ampleurs et de leurs persistances, les conséquences pour les entreprises pourraient être très importantes. « Avec les cryptomineurs, les factures d’électricité des entreprises peuvent rapidement augmenter. Si vous avez plusieurs milliers de postes qui consomment d’un coup ne serait-ce que 20 % de plus, cela peut commencer à faire mal. Les tests que nous avons menés chez Symantec montrent que cela peut également ralentir de manière relativement considérable la productivité des employés. Il n’y a pas de règles, mais avec certains cryptomineurs, nous avons pu constater que Excel pouvait être 5 à 10 fois plus lent à lancer. C’est une perte de productivité directe non négligeable, sans oublier que vous avez quand même un logiciel qui ne vous appartient pas sur votre infrastructure. Rien ne dit que demain à l’occasion d’une mise à jour, un cryptomineur ne se décide à faire du ransomware… C’est comme une tête de pont qui peut tout à fait servir à autre chose », ajoute Laurent Heslault.
Des mesures indispensables
Les importantes ressources matérielles des entreprises et des institutions publiques en font désormais une cible de choix pour les cybercriminels. Outre les postes Windows, les terminaux Android sont particulièrement touchés. Au premier trimestre 2018, les mineurs visant l’OS mobile de Google ont augmenté de 4 000 % par rapport au trimestre précédent. Contrairement aux idées reçues, les Mac ne sont pas épargnés. Malwarebytes a détecté plus de 1 000 mineurs malveillants sous la forme d’extensions de navigateurs et d’applications de cryptomining entre les mois de janvier et mars 2018. Pour se prémunir du cryptojacking comme des autres menaces, les entreprises doivent mettre en place une solution de sécurité globale multiniveau. La surveillance de l’utilisation de leurs ressources et le blocage de l’exécution automatique du JavaScript doivent désormais figurer aux premières places des mesures de sécurité à prendre pour lutter en particulier contre le cryptojacking. Une menace qui n’est vraisemblablement pas près de faiblir dans les mois, voire les années à venir… ❍« On commence à avoir de plus en plus de cryptomineurs très sophistiqués qui fonctionnent de manière invisible afin d’utiliser les ressources des postes compromis le plus longtemps possible » Nicolas Sterckmans, Senior Sale Engineer chez Malwarebytes.
« Au départ, il était très simple de détecter un cryptomineur. Ils étaient faits un peu à la va-vite et utilisaient 100 % du CPU. Maintenant, on a des choses beaucoup plus élaborées et discrètes qui se contentent d’exploiter 10, 15 à 20 % de la puissance de calcul des terminaux. C’est ce qu’on a pu voir avec l’application Badle Pricom sur Android, qui fournissait des écrans de veille. Elle dissimulait un bitcoin miner qui vérifiait en permanence l’état de la batterie, la connectivité, si le téléphone était allumé, etc., pour éviter de se faire repérer. Il ne se lançait par exemple que lorsqu’il y avait plus de 50 % de la batterie et que si la réception réseau était bonne. On commence à détecter des cryptomineurs de plus en plus sophistiqués qui fonctionnent de manière invisible afin d’utiliser les ressources des postes compromis le plus longtemps possible. Les cybercriminels sont encore en phase de tests et ils regardent toute l’étendue de ce qu’ils peuvent faire. Au mois de février dernier, un opérateur européen d’infrastructure critique d’épuration des eaux avec des Scada a été infecté (ndlr : premier exemple connu d’un logiciel malveillant de cryptominage ayant été utilisé contre un système de contrôle industriel). Il n’y a pas encore de chiffres officiels sur les montants que ces campagnes de minage rapportent réellement, mais elles rapportent beaucoup plus que les éléments malveillants qui utilisaient jusqu’à présent votre machine pour faire de la fraude au clic – ou malware teasing… »