Sécurité

Du ransomware au cryptojacking : quelles conséquences pour la sécurité des systèmes d’information ?

Share this post:

L’année 2017 avait été marquée par l’importance des incidents qui impliquaient des ransomwares. La firme de sécurité Cyence estime ainsi que le coût total du seul incident WannaCry de mai 2017 dépasse les huit milliards de dollars. Néanmoins, ce chiffre fait souvent oublier que les sommes gagnées par les attaquants sont bien inférieures.

L’année 2018 semble marquée par l’émergence d’un nouveau paradigme, beaucoup plus lucratif pour les attaquants : le cryptojacking, qui repose sur un détournement de la puissance d’un appareil afin de produire (ou « miner ») une cryptomonnaie.

Pour comprendre l’importance de cette évolution, il faut revenir à la finalité d’un ransomware : obtenir le paiement d’une rançon. Le malware chiffre des données et les rend inutilisables tant que son propriétaire ne verse pas une certaine somme. Ce type d’attaque a connu un essor important avec le développement des cryptomonnaies, à l’instar du Bitcoin (2009) ou de l’Ethereum (2015). Le malware WannaCry exigeait ainsi près de 300 dollars, à payer en bitcoins. Le retour sur investissement de ses auteurs s’avère relativement faible par rapport aux dégâts causés : WannaCry leur a rapporté environ 80 000€, moins de 0,13% des victimes ayant versé une rançon.

Demander le paiement d’une rançon n’est pas le seul moyen d’obtenir des cryptomonnaies. Elles peuvent en effet être produites par n’importe quel processeur. Cette opération est néanmoins complexe et mobilise une importante puissance de calcul. Ceci a motivé la mise au point de malwares conçus pour utiliser les capacités d’un appareil infecté afin de produire des cryptomonnaies : les cryptominers. Les attaquants cherchent ensuite à compromettre un grand nombre d’appareils afin de disposer de leur puissance de calcul. Les cryptominers, à l’instar d’ethdcrminer64.exe, sont dans un premier temps restés assez marginaux car assez peu productifs. Un minage optimal dépend en effet de paramètres physiques, comme l’architecture du microprocesseur ou le système d’exploitation utilisé par la cible, que l’attaquant n’est pas toujours en mesure de connaître.

Toutefois, de nouveaux logiciels de minage ont vu le jour à la fin de 2017. Plus légers, ils permettent de produire des familles de cryptomonnaies (Monero, Electroneum, JSECoin…) dont le processus de création (ou « minage ») sollicite moins les processeurs que le Bitcoin. Techniquement, ces outils prennent la forme d’un fichier JavaScript qui, une fois chargé par un navigateur Web, va miner de la cryptomonnaie. Si le script est exécuté par une dizaine d’appareils pendant un mois, une telle attaque peut rapporter une centaine de dollars à ses auteurs. Très flexible, JavaScript est exécutable par pratiquement n’importe quel appareil, ce qui rend le choix des cibles très large. Les scripts de minage ont ainsi été identifiés sur de nombreux sites et serveurs compromis mais également dans des applications malveillantes et même des publicités.

En attendant, la popularité du cryptojacking ne se dément pas. Une étude de Check Point montre que près de 40% des entreprises auraient été touchées par ce type d’attaque en mai 2018. Surtout, le nombre de cas recensés connait une croissance exponentielle depuis le début de l’année : entre avril et mai 2018, la même étude rapporte que ce type d’attaque a augmenté de plus de 50%. Les conséquences pour les entreprises sont doubles. D’une part, le cryptojacking a un impact direct sur la performance des systèmes compromis et tout particulièrement sur leur consommation énergétique. Ce point peut sembler anecdotique mais n’en demeure pas moins un coût pour l’entreprise. A titre de comparaison, la surconsommation énergétique d’une caméra compromise lors d’un incident en 2016 est estimée à 0,50 dollars par jour. La facture peut vite s’alourdir si des appareils plus perfectionnés sont compromis. D’autre part, la flexibilité des scripts de minage rend monétisable n’importe quelle vulnérabilité. Si des attaquants parviennent à compromettre un système informatique, ils pourront toujours y injecter un script. La popularité grandissante du cryptojacking signifie que le temps entre la découverte et l’exploitation d’une faille de sécurité est amené à se réduire considérablement. En mars 2018, des milliers de sites ont ainsi été compromis moins de vingt-quatre heures après la découverte d’une faille qui pouvait permettre de distribuer des scripts de minage.

La plupart des éditeurs de logiciels de sécurité ont réagi en bloquant les scripts de minage dès qu’ils les ont identifiés. Cette réponse ne règle cependant pas le problème du cryptojacking. L’empreinte des scripts est très faible (de l’ordre de 250Ko) et leur signature peut être aisément changée, ce qui les rend très évasifs. Sur 60 antivirus, seulement 33 d’entre eux identifiaient ainsi le script Coinhive.js, l’un des outils de minage les plus prisés par les attaquants, comme malveillant en juin 2018. Surtout, repérer le cryptojacking n’est pas évident : le script n’est en effet jamais chargé sur le système de la victime mais est exécuté dans sa mémoire vive (attaque dite « fileless »). Si l’attaque n’est pas détectée en amont, elle ne sera détectable qu’en analysant des changements dans les performances du système, notamment sa consommation énergétique et l’activité des processeurs. Ces indicateurs sont normalement suivis par un SIEM mais toutes les entreprises, notamment les PME, ne sont pas en mesure d’utiliser ce type de solution ou de le configurer correctement.

Contre toute attente, les entreprises peuvent renforcer leur protection en s’assurant que leurs serveurs et endpoints soient équipés d’antivirus. S’ils sont à jour, ils devraient être en mesure d’identifier les cas de cryptojacking et de les bloquer. Il est enfin possible de réduire son exposition à ce type d’attaque en mettant à jour les logiciels qui fonctionnent côté serveur. Les éditeurs de logiciels de bases de données et de serveurs Web, deux types d’applications très ciblées dans les cas de cryptojacking, ont en effet pris conscience de l’importance de cette menace et proposent désormais tous des correctifs pour y faire face.

 

Consultant en Sécurité IBM

More Sécurité stories
12 juillet 2022

Le spécialiste des logiciels libres STARTX adopte l’IBM Cloud Pak for Multi Cloud Management pour ses projets CloudForms

C’est tout naturellement que STARTX s’est rapproché d’IBM et a choisi IBM Cloud Pak for Multi Cloud Management, pour ses projets CloudForms. Une solution cohérente, solide et pérenne, qui permet d’accélérer et de sécuriser les projets de ses clients. Une adoption accompagnée par le distributeur Arrow ECS. Membre de La Home Sweet Company, STARTX est […]

Continue reading

11 juillet 2022

Pourquoi l’AIOps aide les équipes IT à conserver la maîtrise de leur SI

Les DSI ont de plus en plus de difficultés pour appréhender la complexité croissante de leur paysage IT. L’AIOps les aide à détecter les problèmes opérationnels, en trouver la cause et y remédier. L’AIOps automatise également l’optimisation des ressources. Une technologie en plein essor.   L’AIOps (Artificial Intelligence for IT Operations) est une technique encore […]

Continue reading

21 avril 2022

IA, cyber-résilience et cloud hybride : l’IBM z16 accélère les transformations

Dévoilé le 5 avril 2022, l’IBM z16 a été conçu dans une logique d’accélération du parcours de nos clients vers le cloud hybride et l’intelligence artificielle (IA), avec des niveaux de sécurité des plus élevés. Le Mainframe IBM est au cœur des environnements cloud hybride. Il est reconnu par les deux tiers des entreprises du […]

Continue reading