Une vulnérabilité Microsoft permet à des cybercriminels de miner la cryptomonnaie Monero

Publié le 2 Octobre 2017
Eset annonce avoir découvert un réseau de botnets exploitant une vulnérabilité dans Windows Server 2003 leur permettant d’installer à l’insu de leurs propriétaires une version modifiée d’un mineur open source.

« Le minage est le procédé par lequel les transactions des cryptomonnaies sont sécurisées. À cette fin, les mineurs effectuent avec leur matériel informatique des calculs mathématiques pour le réseau de la crypto. Comme récompense pour leurs services, ils collectent les cryptos nouvellement créées ainsi que les frais des transactions qu’ils confirment »1. Ces concentrations de ressources, rarement disponibles sur un seul serveur, obligent souvent les mineurs à se regrouper via des botnets pour augmenter leurs ressources de calcul.

Les experts Eset pensent que cette faille est exploitée depuis mai 2017. Les cybercriminels ont créé un réseau de botnet comprenant une centaine de machines. Ils ont ainsi généré plus de 63 000 dollars en cryptomonnaie Monero. Eset nomme cette menace Win32/CoinMiner.AMW trojan.

« Bien que Monero soit loin derrière Bitcoin en termes de capitalisation, il existe trois principales raisons pour lesquelles les cybercriminels l’exploitent », déclare Peter Kálnai, Malware Researcher chez Eset. Les voici : « Les transactions Monero sont intraçables - Monero s’appuie sur un algorithme appelé CryptoNight qui attribue clairement le travail effectué - CryptoNight favorise l’utilisation des CPU et non pas des GPU comme le Bitcoin », conclue-t-il.

En juillet 2015, Microsoft a mis fin au support des mises à jour régulières pour Windows Server 2003. Malgré cela, en juin 2017 Microsoft a corrigé plusieurs vulnérabilités afin d'éviter que de grandes attaques telles que WannaCry se produisent à nouveau. Bien qu’elles soient disponibles, les mises à jour ne sont pas forcément appliquées : les administrateurs évitent leur installation automatique (plus d’informations dans le livre blanc SCADA et la tribune sur le coût des mises à jour d’OS vieillissants). « Les utilisateurs de Windows Server 2003 sont fortement invités à appliquer entre autres la mise à jour de sécurité KB3197835 », déclare Michal Poslušný, Malware Analyst chez Eset. « Si les mises à jour automatiques échouent, les utilisateurs doivent les télécharger et les installer manuellement ».

« En nous basant sur les performances des CPU équipant habituellement les serveurs 2003 et les gains réalisés, nous avons tenté de déterminer le nombre de serveurs infectés. Nous estimons que le réseau de botnets génère 5,5 XMR2 par jour, soit 825 dollars américains selon le taux de change actuel. Le montant total de l’opération est estimé à 63 000 dollars américains », explique Benoît Grunemwald, Cybersecurity Leader chez Eset.

Cette activité cybercriminelle démontre l’ingéniosité de ses créateurs et le relatif niveau de compétences requis. Par ailleurs, les faibles coûts opérationnels nécessaires permettent d’obtenir des revenus significatifs. Dans ce cas précis, les cybercriminels ont détourné le logiciel de minage légitime et ciblé d'anciens systèmes non patchés.

Retrouvez l’analyse complète de ce malware sur WeLiveSecurity.

1 Citation du site Internet https://bitcoin.fr/minage/
2 XMR est le code utilisé sur les places de marché, comme USD pour les dollars américains.

 
Contactez cette société ou un revendeur de ces produits.
Les 10 derniers articles
Les 10 derniers articles
Services
Ingram
Top 10Top 10 du jourTop 10 de la semaineTop 10 du mois
 La vidéo du moment
FlashITRmobilesITRgamesITchannel
Commentaires