Christophe Auberger, directeur technique de Fortinet France, explique que "les cybercriminels volent du temps de calcul pour créer toujours plus d'argent virtuel".
Après le fléau des ransomwares, les entreprises doivent faire face au cryptojacking qui s'est fortement démocratisé depuis le début de l'année 2018. « Nous assistons effectivement à un engouement sur les cryptomenaces, c'est moins visible que les ransomwares pour lesquels les entreprises ont pris certaines mesures. Là où les cybercriminels s'intéressaient aux vols de données pour gagner de l'argent, avec le cryptojacking, ils volent du temps de calcul pour créer toujours plus d'argent virtuel », explique Christophe Auberger, directeur technique de Fortinet France. Le cryptojacking ou malware par cryptominage consiste, en effet, à introduire un malware dans le système en toute transparence afin d'exploiter les ressources de la machine infectée (PC, serveur et tout type de terminal) pour créer de la cryptomonnaie. Un bon moyen pour les pirates de s'enrichir à moindre frais sans en informer la victime contrairement au ransomware. L'obfuscation, cette technique pour se dissimuler, a donc de beaux jours devant elle... Depuis le début de l'année, les malwares par cryptominage ont explosé selon le Vulnerability and Threat Trends Report de Skybox Security, ainsi au premier semestre 2018, ces malwares représentaient 32 % des attaques, contre 8 % pour les ransomwares. Pour information, au cours des six derniers mois de l'année dernière, la situation était inversée puisque les ransomwares constituaient 32 % des attaques, alors que les attaques de minage de cryptomonnaie n'affichaient, elles, que 7 %. Dès le début de l'année, certains spécialistes, comme Cisco avec son centre Talos, avaient alerté les utilisateurs d'une forte augmentation de ces menaces.
« Les attaques par cryptominage sont pernicieuses car le vecteur d'infection n'est pas visible, les experts mettent au minimum 5 mois pour les découvrir autant vous dire que cela génère des gains importants pour les pirates. En moyenne, c'est 500 € par mois pour créer du Monero (ndlr : cryptomonnaie concurrente du Bitcoin ou d'Ethereum dont le cours approche les 100 €) pour 2 000 machines infectées, cela représente beaucoup d'argent à l'année. Le ROI est donc plus rapide pour les pirates avec ce type d'attaque que le ransomware », indique Vincent Meysonnet, directeur technique de l'éditeur Bitdefender. Et d'ajouter : « La cible principale des pirates est le datacenter car il produit une grande puissance de calcul disponible pour exécuter les opérations de minage ». Pour les victimes de cryptojacking, les conséquences sont surtout visibles sur la consommation de leurs ressources avec un temps de réponse de leur machine plus long, une facture énergétique en hausse et des coûts de location plus importants pour les entreprises évoluant dans un environnement hybride.
Forte progression des cyberattaques sans fichier
En soi, les opérations de minage sont légales, il existe une multitude de logiciels pour les centaines de cryptomonnaies existantes sur le marché. Même Nvidia, le spécialiste des cartes graphiques, crée des gammes dédiées au minage. Mais des petits malins (organisés en réseaux de cybercriminels) détournent ces logiciels à leur profit ou exploitent des techniques encore plus redoutables pour introduire leurs malwares. « Peu importe la nature du malware, le pirate s'introduit désormais en ciblant la mémoire via PowerShell par exemple, ce que l'on appelle l'attaque sans fichier (ou fileless attack) », souligne Vincent Meysonnet. A ce titre, une récente étude réalisée par McAfee révèle que cette technique d'attaque a progressé de 432 % par rapport à 2017. Citons par exemple les malwares Kovter et CactusTorch qui exécutent un shellcode personnalisé sur les systèmes Windows...
Regain d'intérêt pour les APT
Si le cryptojacking fait une entrée en force, cela ne signifie pas pour autant que les autres menaces ont disparu. A en croire nos interlocuteurs, les APT (menaces avancées) sont toujours d'actualités, un regain d'activité a même été constaté par les fournisseurs. Pour Thomas Roccia, chercheur au sein de l'équipe du laboratoire McAfee Advanced Threat Research, un risque accru d'attaques Supplychain est à craindre. Un fournisseur, vecteur de confiance, pourrait facilement être aussi un vecteur d'infection. Souvenons-nous de l'attaque partie de la société ukrainienne M.E.Doc qui s'est rapidement propagée aux Etats-Unis et à l'Europe. De son côté, concernant les attaques, Fayçal Mouhieddine, responsable commercial de Cisco France, relève plusieurs tendances de propagation dont la potentielle vulnérabilité du trafic chiffré par un malware, la faiblesse sécuritaire des systèmes industriels, les sites de confiance qui hébergent des menaces cachées, la vulnérabilité des CPU et GPU, sans oublier les terminaux mobiles. De même, pour Laurent Pétroque, expert sécurité chez F5 Networks, un risque majeur existe sur l'IoT car chacun y va avec sa propre solution souvent sans prise en compte de la sécurité dès la conception de l'objet (security by design). De ce fait, il est extrêmement important de construire un réseau indépendant lié aux objets connectés. N'oublions pas que la cybercriminalité est aussi un business model peu importe les techniques...
Suivez-nous