Le cryptojacking

Qui utilise vos ordinateurs ? Le cryptojacking dégrade les performances du réseau

Version imprimable, PDF et e-mail

Que faites-vous lorsque les performances de votre réseau commencent à faiblir ? Vous contrôlez l'utilisation du Web par les employés et appliquez des politiques plus strictes ? Vous examinez l'usage de la bande passante et vous assurez d'un bon équilibrage de la charge ? Vous vérifiez que les applications sont correctement configurées et sécurisées ? Vous achetez davantage d'espace de stockage et étendez vos capacité réseau ? 

Toutes ces propositions sont d'excellentes réponses. Mais aucune d'entre elles n'aborde un type d'attaques de Malware de plus en plus courant appelé « cryptojacking ».  

Cryptojacking : Utiliser VOS ressources à LEUR avantage 

Dans une attaque de cryptojacking, le malware qui permet au pirate de contrôler un ordinateur est infiltré dans autant d'appareils que possible, puis ces appareils sont utilisés pour miner des cryptomonnaies qui iront dans la poche du pirate. Les appareils qui sont contrôlés de cette manière sont fondamentalement assez similaires à un Botnet classique, mais plutôt que d'être utilisés pour lancer des attaques DDoS à grande échelle, ils sont simplement mis à contribution pour effectuer des calculs très complexes et produire des cryptomonnaies.  

Pour réaliser des gains financiers importants, les cryptojackers ont besoin de prendre le contrôle d'un grand nombre d'appareils (ou d'appareils à haute capacité comme les serveurs cloud). En 2020, un étudiant de l'université d'État de Louisiane (LSU) a avoué avoir pris le contrôle de 169 ordinateurs de l'université et les avoir utilisés pour extraire des cryptomonnaies. Pendant ses deux ans d'activité, il a réalisé un bénéfice d'environ 2 500 $.  

Dans le cas de la LSU, l'attaquant a chargé le malware de minage directement sur chaque ordinateur à l'aide d'une clé USB. Il est toutefois beaucoup plus probable que le code malicieux utilisé pour détourner vos appareils soit envoyé dans un e-mail de phishing ou intégré dans un site Web compromis ou malicieux.  

La popularité du cryptojacking varie en fonction de la valeur des cryptomonnaies : lorsque les prix grimpent, la fréquence des attaques de cryptojacking fait de même. Bien que ce type d'attaque n'ait été découvert qu'en 2017, il s'est avéré que dès 2018, il constituait 35 % des cybermenaces (source : Wired), donnant aux ransomware – champions incontestés des attaques cybernétiques – du fil à retordre. 

Dommages potentiels 

Le cryptojacking entraîne rarement de graves dommages pour la victime, si ce n'est une baisse des performances, une augmentation des factures d'électricité et une hausse des frais généraux informatiques pour tenter de résoudre les problèmes de performance. Mais dans certains cas, une telle attaque peut imposer une charge si lourde sur le CPU qu'elle entraîne une surchauffe des appareils suivie de dommages physiques.  

Pire encore, il y a eu au moins un cas d'attaque contre des infrastructures essentielles, au cours de laquelle le réseau technologique d'exploitation d'une compagnie des eaux européenne s'est retrouvé infecté par un malware de cryptojacking. Les systèmes de contrôle industriels (ICS) doivent généralement disposer d'une grande puissance de traitement, dont la majeure partie n'est utilisée qu'occasionnellement. Cet excédant de puissance de traitement disponible, associé à une consommation électrique normalement élevée et, souvent, à des systèmes anciens relativement faciles à pénétrer, peut rendre ces infrastructures particulièrement attrayantes pour les cryptojackers. Ces attaques pourraient facilement avoir des conséquences importantes dans le monde réel si elles submergeaient les processeurs et la bande passante des ICS, entraînant l'interruption ou le plantage de leurs applications. 

Détection et prévention 

Détecter une attaque de cryptojacking en cours peut s'avérer difficile. Un symptôme possible est une augmentation soudaine des appels au service informatique concernant la lenteur des performances. Une autre peut être l'augmentation des factures d'électricité. Les journaux syslog devraient pouvoir révéler une utilisation élevée du processeur en dehors des heures de travail, ce qui constitue un autre indice potentiel. Mais les malwares de minage modernes sont soigneusement conçus pour ne pas être détectés. L'une de leurs variantes se désactive dès qu'elle détecte un mouvement de la souris ou du clavier. 

En matière de prévention, il est conseillé de combiner des stratégies de sécurité généralement robuste et des mesures visant spécifiquement le cryptojacking.  

  • Redoublez les efforts de formation des utilisateurs. Les attaques de phishing étant un vecteur courant de cryptojacking, tout ce que vous pouvez faire pour prévenir le phishing vous aidera à vous protéger contre le cryptojacking. Cela devrait absolument inclure une solution moderne et informatisée de formation à la sécurité dont l'efficacité à améliorer la capacité des utilisateurs à repérer et à signaler les e-mails malicieux a été prouvée.
  • Utilisez des technologies antiphishing avancées. Un autre outil très utile pour empêcher les malwares de cryptojacking d'utiliser les e-mails de phishing pour briser vos défenses est une solution anti-phishing moderne alimentée par l'IA. Ces produits apprennent les habitudes de communication de votre entreprise et repèrent les comportements inhabituels potentiellement malicieux.
  • Utilisez une solution robuste et actualisées de  Filtrage Web . De nombreux fournisseurs offrent désormais la possibilité de détecter les scripts de minage et de les empêcher de s'exécuter. Et veillez à mettre à jour votre liste de sites Web bloqués pour empêcher les utilisateurs d'accéder aux sites de cryptojacking.
  • Assurez-vous que les dispositifs de sécurité de vos terminaux peuvent détecter les malwares de minage connus. De nombreux distributeurs ont ajouté cette catégorie de malwares à leurs bases de signatures. Maintenez-la à jour pour vous assurer que vous utilisez les fichiers de signatures les plus récents.
  • Envisagez l'utilisation d'extensions pour bloquer les publicités et les tentatives de minage. Doter vos navigateurs Web de telles fonctionnalités est un bon moyen pour bloquer les scripts de cryptojacking, qui sont souvent diffusés par le biais de publicités Web.
  • Surveillez le trafic sortant du réseau et des applications. Les firewalls de réseaux et d'applications modernes examinent et filtrent le trafic sortant, ce qui est utile pour détecter et contrer les tentatives d'attaque de cryptojacking.
  • Assurez-vous que vos propres applications ne sont pas compromises. Si vos propres applications sont compromises par des scripts de cryptojacking, vous risquez d'infecter à votre insu tous les appareils qui utilisent vos applications accessibles au public. Un Web Application Firewall robuste devrait être en mesure de détecter ou prévenir l'insertion de code malicieux.
  • Adoptez une approche moderne au contrôle d'accès. Utiliser une infrastructure de sécurité des réseaux telle que Secure Access Service Edge (SASE) doté de contrôle d'accès zero trust permettra d'empêcher tout accès non autorisé à vos systèmes qui vise à insérer un code de cryptojacking.  

Tant que le minage de cryptomonnaies reste une activité profitable, le cryptojacking perdurera. Et comme la plupart des formes de malware, cette pratique évolue rapidement : elle s'adapte aux mesures de sécurité de plus en plus efficaces, s'associe à d'autres catégories de menaces et améliore leur capacité à échapper à la détection. 

 À long terme, votre meilleure protection consiste à rester au fait des derniers développements (ce blog est un excellent moyen de le faire) et à vous assurer que votre infrastructure de sécurité informatique est hautement efficace, à jour et correctement configurée. 

Remonter en haut de page
Tweeter
Partager
Partager