Actualités

Cryptocurrency Mining Malware infecté plus d’un demi-milion de PC utilisant l’exploit NSA

2017 a été l'année des violations de données et des attaques ransomwares, mais depuis le début de l'année, nous observons un changement rapide dans le paysage des menaces cybernétiques, car les logiciels malveillants liés aux cryptomonnaies deviennent un choix populaire et rentable de cybercriminels. .

Plusieurs entreprises de cybersécurité signalent de nouveaux virus d’exploitation de crypto-monnaie qui sont diffusés à l’aide d’ EternalBlue - le même exploit de la NSA qui a été divulgué par le groupe de hackers Shadow Brokers et responsable de la menace dévastatrice de ransomware WannaCry .
Les chercheurs de Proofpoint ont découvert un énorme botnet mondial baptisé "Smominru", aka Ismo, qui utilise l’exploit EternalBlue SMB (CVE-2017-0144) pour infecter des ordinateurs Windows afin d’extraire secrètement des crypto-monnaie de Monero, valant des millions de dollars, pour son maître.
Actif depuis au moins mai 2017, le botnet Smominru a déjà infecté plus de 526 000 ordinateurs Windows, dont la plupart seraient des serveurs exécutant des versions non corrigées de Windows, selon les chercheurs.
"Basé sur la puissance de hachage associée à l’adresse de paiement Monero pour cette opération, il est apparu que ce botnet était probablement deux fois la taille d’ Adylkuzz ", ont déclaré les chercheurs.
Les opérateurs de botnet ont déjà exploité environ 8 900 Monero, évalués à 3,6 millions de dollars, au rythme d’environ 24 Monero par jour (8 500 dollars) en volant des ressources informatiques de millions de systèmes.
Le plus grand nombre d’infections à Smominru a été observé en Russie, en Inde et à Taiwan, ont indiqué les chercheurs.
L’infrastructure de commande et de contrôle de Smominru botnet est hébergée sur le service de protection DDoS SharkTech, qui a été avertie de l’abus mais l’entreprise aurait ignoré les notifications d’abus.
Selon les chercheurs de Proofpoint, les cybercriminels utilisent au moins 25 ordinateurs pour scanner Internet afin de trouver des ordinateurs Windows vulnérables et utilisent également l’exploit du protocole RDP de la NSA, EsteemAudit (CVE-2017-0176), pour une infection.
« Comme Bitcoin est devenu extrêmement exigeant en ressources minières à l’extérieur des fermes minières dédiées, l’intérêt pour Monero a augmenté de façon spectaculaire.Monero ne peut plus être exploité efficacement sur les ordinateurs de bureau, mais un botnet distribué comme celui décrit ici peut s’avérer très lucratif. ", ont conclu les chercheurs.
"Les opérateurs de ce botnet sont persistants, utilisent tous les exploits disponibles pour étendre leur botnet, et ont trouvé plusieurs façons de récupérer après les opérations de gouffre.Au vu des profits significatifs disponibles pour les opérateurs botnet et la résilience du botnet et de son infrastructure, nous attendons ces activités se poursuivent, ainsi que leurs impacts potentiels sur les nœuds infectés. "
Une autre firme de sécurité, CrowdStrike, a récemment publié un billet de blog, rapportant un autre malware répandu sans crypto-monnaie, baptisé WannaMine , utilisant l’exploit EternalBlue pour infecter des ordinateurs afin d’extraire la crypto-monnaie de Monero.
Comme il ne télécharge aucune application sur un ordinateur infecté, les infections WannaMine sont plus difficiles à détecter par les programmes antivirus. Les chercheurs de CrowdStrike ont observé que les logiciels malveillants ont rendu « certaines entreprises incapables d’opérer pendant des jours et des semaines à la fois ».
En plus d’infecter les systèmes, les cybercriminels adoptent également largement les attaques par cryptojacking , où les mineurs JavaScript basés sur le navigateur utilisent la puissance des processeurs des visiteurs du site Web pour extraire les cryptocurrences à des fins de monétisation.
Depuis que des attaques de logiciels malveillants de crypto-monnaie récemment observées ont été trouvées en utilisant EternalBlue, qui avait déjà été corrigé par Microsoft l’année dernière, il est conseillé aux utilisateurs de garder leurs systèmes et logiciels à jour pour éviter d’être victimes de telles menaces.

Autres aticles de la rubrique

Vidéo du jour

Duel de la semaine

Newsletter

Je souhaite rester informé et recevoir toutes les informations sur TechDeGeek dans ma boite mail