Le code pirate Adykluzz fabrique du Monero

Analyse Bitcoin

Publié: 5/18/2017 9:24:00 PM
Analyse Générale


Fabriquer (miner) du Monero dans le pc des autres ! La seconde attaque exploitant l’une des failles de la NSA, EternalBlue, n’a pas eu pour mission de lancer un ransomware dans les ordinateurs infectés. Machines, faut-il le rappeler, qui n’étaient pas mise à jour.

« Cette fois, nous avons eu de la chance d’avoir affaire à un mineur de crypto-monnaie, indique Bitdefenders, mais il a fort à parier que cela ne va pas s’arrêter là« .  Ce modèle de combinaison d’exploits avec des malwares classiques mènera très prochainement à du datamining et au détournement d’informations importantes. Pour le moment, les attaquants s’intéressent en priorité à faire de l’argent rapidement mais ce n’est qu’une question de temps avant que des intérêts plus importants soient menacés.

Pourquoi Monero et pas des Bitcoins ?

Un meilleur investissement pour l’avenir : au cours des derniers mois, le cours du Bitcoin a augmenté de 24%, tandis que celui de Monero a augmenté de 428%. Si l’on regarde l’année dernière, le Bitcoin a progressé de 93% et Monero de 1720%

Disponibilité : Monero est-il très facile à produire (moins de puissance de calcul machine, plus de productivité, etc.) ? La réponse est oui Peut-on comparer la rentabilité entre les attaquants qui utilisent Monero ou le Bitcoin en ces termes : botnet similaire en termes de nombre et de qualité des machines, même période d’action, disons 24 heures ? Dans certaines circonstances, Monero pourrait être plus facile à produire. Est-ce que le minage de Monero expose moins les attaquants ou s’avère plus discret que le minage de Bitcoins ? – En règle générale, les mineurs de crypto-monnaie sont beaucoup plus difficiles à repérer car ils se focalisent sur leur fonction de base en adoptant la posture la plus discrète possible.

Le contexte d’Adykluzz

Par rapport à WannaCry, cette nouvelle menace est plus difficile à détecter, car elle ne donne aucun avertissement visuel et elle n’interfère pas avec les fichiers des utilisateurs. Même si cette nouvelle menace a un impact globalement inférieur à celui de l’attaque de ransomware précédente connue sous le nom de WannaCry, il s’agit d’une nouvelle confirmation que les cybercriminels construisent une nouvelle génération de logiciels malveillants basés sur l’exploit de SMB EternalBlue dérobé à la NSA.

En raison de cette particularité d’utilisation de la vulnérabilité SMB, Adykluzz est davantage susceptible d’opérer dans un environnement professionnel plutôt que personnel. Cependant, la rentabilité de cette attaque reste meilleure au niveau des particuliers, car le minage de crypto-monnaie est plus efficace sur les machines dédiées au gaming et les ordinateurs multimédias.

#ETERNALBLUE #ETERNALCHAMPION #ETERNALROMANCE #ETERNALSYNERGY. Des gens biens, quoi ?! https://t.co/AG8LykkNgj #cybersécurité @zataz pic.twitter.com/xFnC5vwOYK

— Damien Bancal (@Damien_Bancal) May 18, 2017

Le pic de ce « fabriquant » de crypto-monnaie, a été enregistré le 10 mai 2017, soit quelques heures avant l’épidémie mondiale de WannaCrypt. 118 pays ont été touchés, dont principalement la Russie, Taïwan et l’Ukraine.

Les ransomwares et les mineurs de crypto-monnaie sont les menaces les plus accessibles. Les ordinateurs des établissements publics, des hôpitaux et des autres organismes de soins sont généralement rarement mis à jour. S’ils ne sont pas frappés par un ransomware, ces ordinateurs resteront vulnérables face à l’exploit EternalBlue, aussi longtemps qu’ils ne seront pas patchés. Des menaces complexes peuvent être créées sur la base de cet exploit, allant des logiciels malveillants à vocation lucrative jusqu’à des attaques plus persistantes construites à des fins de cyberespionnage, entre autres.

La campagne Adykluzz, signée aussi sous le nom de CoinMiner.AFR etCoinMiner.AFU par ESET a commencé quelques jours après la mise en ligne des outils de la NSA. Dès le 25 avril 2017, le miner de Monero était détecté. Il est intéressant de noter que les machines infectées par CoinMiner ont vu leur port 445 bloqué. En fermant la porte à de futures infections utilisant EternalBlue et donc le port 445, CoinMiner a pris de vitesse WannaCrypt et sans cette précaution, le nombre d’infections par WannaCrypt aurait pu être beaucoup plus important.

En 2013, le code pirate Fareit récoltait des informations dans les machines qu’il avait pu infiltrer. Une version modifiée de ce logiciel présumé Russe « fabriquait » du bitcoin via une option baptisée CG Miner. Les machines piratée « minait » alors de la crypto-monnaie en profitant de la force de calcul des ordinateurs.

Damien Bancal - Fondateur de ZATAZ - Journaliste - Spécialiste des sujets liés à la Cyber Sécurité depuis plus de 20 ans. Premier article en 1989 dans le mensuel "Amstar & CPC". Fondateur de ZATAZ, ZATAZWEB.tv & datasecuritybreach.fr. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, La Voix du Nord, Tilt, Entrevue, l'Echo des Savanes, Le Canard Enchaîné, France 3, ...). Auteurs et coauteurs de 6 livres dont "Pirates & hackers sur Internet" (Ed. Desmart) ; "Hacker, le 5ème pouvoir" (Ed. Maxima). Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l'Anti-Intrusion des Systèmes Informatiques (CDAISI) de l'Université de Valenciennes ; pour l'Ecole Européenne de Guerre Economique de Versailles. Réserviste Cyber Défense.



Support: Bitcoin
Vues: 140 fois

0 Vote

A la recherche d'une stratégie de trading performante et vérifiée? Consultez nos stratégies de trading.

Commentaires