L’année 2018 semble marquée par l’émergence d’un nouveau paradigme, beaucoup plus lucratif pour les attaquants : le cryptojacking, qui repose sur un détournement de la puissance d’un appareil afin de produire (ou « miner ») une cryptomonnaie.
Pour comprendre l’importance de cette évolution, il faut revenir à la finalité d’un ransomware : obtenir le paiement d’une rançon. Le malware chiffre des données et les rend inutilisables tant que son propriétaire ne verse pas une certaine somme. Ce type d’attaque a connu un essor important avec le développement des cryptomonnaies, à l’instar du Bitcoin (2009) ou de l’Ethereum (2015). Le malware WannaCry exigeait ainsi près de 300 dollars, à payer en bitcoins. Le retour sur investissement de ses auteurs s’avère relativement faible par rapport aux dégâts causés : WannaCry leur a rapporté environ 80 000€, moins de 0,13% des victimes ayant versé une rançon.
Demander le paiement d’une rançon n’est pas le seul moyen d’obtenir des cryptomonnaies. Elles peuvent en effet être produites par n’importe quel processeur. Cette opération est néanmoins complexe et mobilise une importante puissance de calcul. Ceci a motivé la mise au point de malwares conçus pour utiliser les capacités d’un appareil infecté afin de produire des cryptomonnaies : les cryptominers. Les attaquants cherchent ensuite à compromettre un grand nombre d’appareils afin de disposer de leur puissance de calcul. Les cryptominers, à l’instar d’ethdcrminer64.exe, sont dans un premier temps restés assez marginaux car assez peu productifs. Un minage optimal dépend en effet de paramètres physiques, comme l’architecture du microprocesseur ou le système d’exploitation utilisé par la cible, que l’attaquant n’est pas toujours en mesure de connaître.
Toutefois, de nouveaux logiciels de minage ont vu le jour à la fin de 2017. Plus légers, ils permettent de produire des familles de cryptomonnaies (Monero, Electroneum, JSECoin…) dont le processus de création (ou « minage ») sollicite moins les processeurs que le Bitcoin. Techniquement, ces outils prennent la forme d’un fichier JavaScript qui, une fois chargé par un navigateur Web, va miner de la cryptomonnaie. Si le script est exécuté par une dizaine d’appareils pendant un mois, une telle attaque peut rapporter une centaine de dollars à ses auteurs. Très flexible, JavaScript est exécutable par pratiquement n’importe quel appareil, ce qui rend le choix des cibles très large. Les scripts de minage ont ainsi été identifiés sur de nombreux sites et serveurs compromis mais également dans des applications malveillantes et même des publicités.
En attendant, la popularité du cryptojacking ne se dément pas. Une étude de Check Point montre que près de 40% des entreprises auraient été touchées par ce type d’attaque en mai 2018. Surtout, le nombre de cas recensés connait une croissance exponentielle depuis le début de l’année : entre avril et mai 2018, la même étude rapporte que ce type d’attaque a augmenté de plus de 50%. Les conséquences pour les entreprises sont doubles. D’une part, le cryptojacking a un impact direct sur la performance des systèmes compromis et tout particulièrement sur leur consommation énergétique. Ce point peut sembler anecdotique mais n’en demeure pas moins un coût pour l’entreprise. A titre de comparaison, la surconsommation énergétique d’une caméra compromise lors d’un incident en 2016 est estimée à 0,50 dollars par jour. La facture peut vite s’alourdir si des appareils plus perfectionnés sont compromis. D’autre part, la flexibilité des scripts de minage rend monétisable n’importe quelle vulnérabilité. Si des attaquants parviennent à compromettre un système informatique, ils pourront toujours y injecter un script. La popularité grandissante du cryptojacking signifie que le temps entre la découverte et l’exploitation d’une faille de sécurité est amené à se réduire considérablement. En mars 2018, des milliers de sites ont ainsi été compromis moins de vingt-quatre heures après la découverte d’une faille qui pouvait permettre de distribuer des scripts de minage.
La plupart des éditeurs de logiciels de sécurité ont réagi en bloquant les scripts de minage dès qu’ils les ont identifiés. Cette réponse ne règle cependant pas le problème du cryptojacking. L’empreinte des scripts est très faible (de l’ordre de 250Ko) et leur signature peut être aisément changée, ce qui les rend très évasifs. Sur 60 antivirus, seulement 33 d’entre eux identifiaient ainsi le script Coinhive.js, l’un des outils de minage les plus prisés par les attaquants, comme malveillant en juin 2018. Surtout, repérer le cryptojacking n’est pas évident : le script n’est en effet jamais chargé sur le système de la victime mais est exécuté dans sa mémoire vive (attaque dite « fileless »). Si l’attaque n’est pas détectée en amont, elle ne sera détectable qu’en analysant des changements dans les performances du système, notamment sa consommation énergétique et l’activité des processeurs. Ces indicateurs sont normalement suivis par un SIEM mais toutes les entreprises, notamment les PME, ne sont pas en mesure d’utiliser ce type de solution ou de le configurer correctement.
Contre toute attente, les entreprises peuvent renforcer leur protection en s’assurant que leurs serveurs et endpoints soient équipés d’antivirus. S’ils sont à jour, ils devraient être en mesure d’identifier les cas de cryptojacking et de les bloquer. Il est enfin possible de réduire son exposition à ce type d’attaque en mettant à jour les logiciels qui fonctionnent côté serveur. Les éditeurs de logiciels de bases de données et de serveurs Web, deux types d’applications très ciblées dans les cas de cryptojacking, ont en effet pris conscience de l’importance de cette menace et proposent désormais tous des correctifs pour y faire face.
