123dartist - Fotolia
Le cryptojacking, une menace en passe de remplacer le ransomware ?
Plus discrète que le rançongiciel, mais aussi potentiellement plus lucrative dans la durée, cette nouvelle menace apparaît promise à un bel avenir.
Il n’y a guère que Malwarebytes pour avoir l’audace de prédire que le cryptojacking constituera une « priorité absolue » des cyber-délinquants en 2018. Pour autant, cette menace relativement récente apparaît effectivement jouir d’augures hautement favorables.
Marcin Kleczynski, Pdg de l’éditeur, l’appréhende sous l’angle du détournement de ressources CPU via le navigateur Web. Le phénomène est déjà bien observable. En novembre, Willem de Groot se demandait ainsi combien de sites Web utilisaient CoinHive pour miner des cryptodenier à bon compte, parfois à l’insu de l’internaute, toujours sur sa facture électrique. Il avait compté près de 2 500 sites de commerce en ligne. Mais c’était sans compter avec d’autres, notamment des sites référençant des liens Torrent vers des contenus piratés. Mi-octobre, Trustwave soulignait une tendance lancée par The Pirate Bay. Début décembre, selon Sophos, il fallait compter avec près de 18 000 URLs où est exploité CoinHive.
Un grand retour poussé par de multiples facteurs
Comme le souligne Symantec, le cryptojacking dans le navigateur Web n’est pas nouveau : il existe au moins depuis 2011. Mais il fait un retour en fanfare. Et il y a plusieurs bonnes raisons à cela.
L’éditeur souligne ainsi la facilité d’utilisation offerte par CoinHive : pour en profiter, il suffit « d’ajouter quelques lignes de script au code de votre site Web ». La génération de crypto-deniers se faisant dans le navigateur du visiteur, il n’y a pas besoin de forcer ou demander l’installation de quelque exécutable que ce soit…
Et il y a le cours des crypto-monnaies. Celui du Bitcoin s’est envolé, mais celui de Monero n’est pas en reste. Et ce dernier présente aussi l’avantage d’une traçabilité moindre. Mais il y a surtout un effet d’échelle, comme le souligne Symantec : « prenons l’exemple d’un utilisateur de PC de milieu de gamme avec un processeur Intel i7-7700K capable de sortir 300 hashes par seconde. Il lui faut 3 333 secondes sur une page Web utilisant CoinHive pour générer un million de hashes. Mais le même résultat peut être atteint avec 3 333 visiteur passant environ une seconde sur la page ».
Bientôt tous mineurs de crypto-deniers ?
Mais pourquoi se contenter de pages Web si l’on peut directement détourner un système connecté à Internet ? Et cela d’autant plus que Monero est bien adapté à la génération de crypto-deniers sur des CPU standards, là où Bitcoin requiert des composants spécialisés.
Les auteurs de Loapi, un maliciel visant les terminaux Android et les utilisant pour miner du Monero, semblent avoir leur réponse à la question. Mais cela vaut aussi pour ceux de Zealot, qui se propage via des vulnérabilités Apache Struts, et avant, ceux d’Adylkuzz. Et le phénomène semble loin d’être isolé.
I'm not surprised. Found over 17 coin miners discovered on our Network the wallets used in the compromised machines had accumulated of $600k in current monero market value. There's real incentive for this, and as you say much quieter than ransomware.
— Brian Laskowski (@laskow26) December 18, 2017
Sur Twitter, Brian Laskowski indique ainsi avoir trouvé 17 mineurs de Monero sur son réseau. Dans un billet de blog, il détaille la manière de détecter les détournements et de les bloquer. Et ces conseils tombent à point nommé.
Wordfence vient ainsi de sonner le tocsin en raison de l’observation d’une vaste campagne d’attaque de sites Wordpress, en force brute, ce lundi 18 décembre, avec rien moins que 100 000 tentatives ce jour-là… à partir d’un seul serveur compromis, parmi d’autres. Le but ? S’infiltrer sur d’autres instances pour ensuite en toucher de nouvelles. Et surtout, détourner les ressources CPU de chacune des instances compromises pour générer… du Monero.
My honeypot often gets hit by coin miners. Usually Monero miners and usually over SSH. Can you tell me how to determine the wallet and the amount in it from the parameters? Some are obviously for joining a pool but not sure what to look for.
— Vess (@VessOnSecurity) December 18, 2017
Le Dr. Vesselin Vladimirov Bontchev observe également le phénomène, avec son honeypot qu’il dit souvent touché par des mineurs de crypto-monnaie, « généralement Monero, et sur SSH ». Et que l’on ne s’y trompe pas : un vaste éventail de plateformes peut être touché. Car encore une fois, si chercher à générer des crypto-deniers pour soi-même, sur un Raspberry Pi, n’aurait aucun sens, viser à grande échelle les équipements de tiers peut en avoir.
La fin du ransomware ?
Pour les cyber-délinquants, ce type de détournement de ressources ne manque pas d’intérêt, à commencer par celui de, potentiellement, pouvoir s’inscrire dans la durée, et miser sur une vaste échelle. Comme le relevait Brian Laskowski, le cryptojacking est assurément plus discret qu’une attaque par rançongiciel. Une discrétion qui, si elle est soigneusement préservée, permet au cyber-délinquant de détourner longtemps les ressources CPU à son profit.
Mais ce n’est pas pour autant que les ransomwares apparaissent appelés à disparaître : la promesse d’un gain conséquent en un bref laps de temps ne manque sûrement pas d’attrait. Et puis, pour certains experts, les crypto-monnaies ne sont pas sans rien devoir à la cyber-délinquance et aux opérations de cyber-extorsion : une part de leur valeur vient de là, de l’espoir de retrouver l’accès à ses données et de pouvoir reprendre une activité normale.