123dartist - Fotolia
Le cryptojacking continue discrètement son avancée
Le détournement de ressources de calcul pour miner des cryptodeniers semble séduire de plus en plus les cyber-délinquants. Une menace qui pèse sur la facture d’électricité des entreprises.
En décembre dernier, il n’y avait guère que Malwarebytes pour avoir l’audace de prédire que le cryptojacking constituerait une « priorité absolue » des cyber-délinquants cette année. Mais les premières semaines de 2018 semblent s’inscrire dans cette tendance.
Aujourd’hui, Check Point a placé les maliciels conçus pour miner des cryptodeniers à bon compte en tête des menaces de décembre 2017, avec deux variantes, Coinhive et Cryptoloot. Selon l’équipementier, ils ont affecté 55 % des organisations du monde entier à des degrés divers. Mais c’est sans compter avec les maliciels de ce type qui affectent les serveurs.
Côté serveurs, il y a bien sûr Zaelot, qui s’infiltre via une vulnérabilité d’Apache Struts, se propage via SMB, et mine du Monero. Adylkuzz, documenté par Proofpoint en mai 2017, utilisait également EternalBlue pour se propager sur les réseaux des entreprises et en détourner les hôtes pour, là encore, générer des cryptodeniers.
Récemment, les chercheurs de Check Point ont détaillé un autre maliciel spécialisé dans le crypojacking. Baptisé RubyMiner, il s’attaque aux serveurs PHP, en profitant de vulnérabilités connues dans Ruby on Rails et Microsoft IIS. Il dépose XMRig sur les serveurs compromis. Ce logiciel conçu pour miner du Monero supporte les processeurs x86, ARMv7 et v8, mais des versions dédiées peuvent également mettre à profit des GPU Nvidia et AMD.
Début janvier, les chercheurs Check Point estimaient à environ 700 le nombre de serveurs Web ainsi détournés, dans le monde entier. Mais le cas n’est pas isolé.
Quelques jours plus tôt, l’institut SANS alertait sur la mise à profit d’une vulnérabilité d’Oracle WebLogic pour déployer un mineur de Monero, encore une fois, sur les serveurs affectés. Là encore, c’est XMRig qui est mis à contribution. Cette même vulnérabilité a été parallèlement observée pour compromettre des systèmes PeopleSoft, avec la même finalité.
S’il fallait encore se convaincre de la réalité de la menace, les chercheurs de F5 ont détaillé, en tout début d’année, un maliciel spécialisé dans le cryptojacking, visant les serveurs Linux en se propageant via SSH. Baptisé PyCryptoMiner, il est écrit en Python et vise aussi, depuis la mi-décembre, les serveurs JBoss sur lesquels la vulnérabilité CVE-2017-12149, publique depuis la fin août dernier, n’a pas été corrigée.