La montée des pirates miniers illégaux de Crypto – et la réponse des grandes entreprises technologiques

Les grandes entreprises technologiques comme Google et Amazon sont en état d'alerte maximale face aux menaces de cryptojacking sur leurs serveurs cloud. Alors que ce type d'attaque se répand, la sensibilisation des consommateurs reste la clé de la cyberdéfense, affirment les experts.

Le cryptojacking est un type de cyberattaque par lequel des pirates informatiques détournent les ressources d’un ordinateur et les utilisent pour extraire des cryptomonnaies. La monnaie la plus populaire extraite de cette façon est lapièce de monnaie Politique de confidentialité Monero (XMR), qui est largement utilisé sur le dark web.

Cet article fait partie de CoinDeskSemaine de l'exploitation minière série.

Les fournisseurs de services cloud louent essentiellement des immeubles d'habitation à leurs utilisateurs, a déclaré Wei Xian Tee, responsable spécialisé dans la cybercriminalité à Interpol. Ils ont une visibilité limitée sur ce que font les utilisateurs, et s'ils jettent un œil à l'intérieur de ces appartements, des problèmes de Politique de confidentialité se posent. Par conséquent, les fournisseurs de services cloud ne peuvent T faire grand-chose pour empêcher les utilisateurs de télécharger des logiciels malveillants de cryptojacking qui infectent leurs ordinateurs. Au lieu de cela, en ce qui concerne le cryptojacking, la priorité absolue d'Interpol est d'informer le public sur les menaces que ce type de logiciels malveillants représente, afin que les utilisateurs puissent alerter les autorités, a-t-il déclaré.

Sur le même sujet : Qu'est-ce que le cryptojacking ?

Les services cloud regroupent les ressources matérielles et les proposent sous forme de services virtualisés à la demande à des abonnés payants. Occupant souvent l'espace d'un centre de données de plusieurs pâtés de maisons, ces puissants systèmes distribués à l'échelle mondiale sont une cible de choix pour les cryptojackers. En piratant une machine virtuelle, ils peuvent accéder à des pools de ressources matérielles bien plus importants sur ces environnements virtualisés.

La plupart des entreprises et des particuliers font appel à des fournisseurs de cloud, tels que Google ou Amazon, pour stocker des données et exécuter des applications. Lorsqu’ils utilisent ces services, ils créent leurs propres machines virtuelles sur le cloud du fournisseur et les partagent avec le personnel, qui les connecte à son tour à différents appareils. Ce processus ouvre plusieurs vecteurs d’attaque permettant au cryptojacker d’accéder aux machines virtuelles d’une entreprise et, peut-être, aux vastes ressources serveur du fournisseur de cloud, qui peuvent inclure des fermes de GPU souvent utilisées par les entreprises pour entraîner des systèmes d’intelligence artificielle.

La menace croissante du cryptojacking

La société de cybersécurité SonicWall estime que le nombre total d'attaques de cryptojacking a augmenté19 % sur un anen 2021, l’essentiel de la hausse provenant d’Europe.

Dans sonRapport sur la cybersécurité 2021Google Cloud a déclaré que 86 % des instances cloud compromises étaient utilisées pour le minage de Crypto .

« Alors que la valeur des Cryptomonnaie augmente, certains attaquants se tournent vers le cryptojacking plutôt que vers les ransomwares », a déclaré à CoinDesk Karthik Selvaraj, directeur de la recherche en sécurité chez Microsoft. «Les Cryptomonnaie sont là pour rester, ce qui signifie malheureusement que les voleurs de Crypto le sont aussi », a-t-il déclaré.

Yeo Siang Tiong, directeur général de la société de cybersécurité Kaspersky pour l'Asie du Sud-Est, a souligné qu'avec la montée en flèche des prix du Bitcoin en septembre 2021, le nombre d'utilisateurs confrontés à des menaces de minage de Crypto a atteint 150 000, son niveau mensuel le plus élevé. La société de cybersécurité russe a également données notées l'année dernièreindiquant que les pirates informatiques ont détourné des ressources des cyberattaques traditionnelles comme les attaques par déni de service distribué (DDoS) vers le cryptojacking.

Le passage àpreuve d'enjeuL'exploitation minière pourrait aider à freiner la croissance du cryptojacking, car elle rendrait ce type d'attaque moins rentable, a déclaré Selvaraj de Microsoft.

Les grandes technologies ripostent

« Microsoft et Intel se sont récemment associés pour améliorerMicrosoft Defender pour Endpoint « Microsoft a la capacité de détecter les logiciels malveillants de minage de Cryptomonnaie », a déclaré Selvaraj. Microsoft utilise une Technologies d'analyse comportementale et de mémoire pour « détecter à la fois le cryptojacking et les Infostealers qui ciblent les portefeuilles », a déclaré le directeur de la sécurité.

La sécurité des terminaux protège un réseau, par exemple un réseau cloud d'entreprise, en sécurisant les appareils qui s'y connectent depuis l'extérieur de son pare-feu. Ces terminaux sont ceux avec lesquels les humains, par exemple les employés d'une entreprise, interagissent, comme les ordinateurs portables, les tablettes, ETC

Début février, Google Cloud a lancé un nouveau produit, baptisé Virtual Machine Threat Detection (VMTD), destiné à protéger les clients contre les menaces de cryptojacking. Google Cloud a refusé de commenter cette histoire et a renvoyé CoinDesk vers le billet de blog annonçant leur VMTD.

Sur le même sujet : Ne l'appelez T un retour en force : l'essor improbable du minage de Bitcoin à domicile

Contrairement à Microsoft, la solution de sécurité de Google Cloud vise à détecter les malwares de Crypto exécutés sur des machines virtuelles en analysant l'hyperviseur, le logiciel qui crée et exécute les machines virtuelles. Cette méthode atténuera l'impact sur les performances par rapport à la sécurité traditionnelle des terminaux, a déclaré l'entreprise.

« En vérité, aucune approche d'un seul fournisseur ne sera suffisante », a déclaré à CoinDesk John Wethington, expert en cybersécurité et hacker whitehat. « Bien que vous puissiez discuter des mérites ou des avantages et inconvénients de l'approche d'un fournisseur spécifique, il est important de noter que ces décisions sont souvent prises dans un vide d'information par une poignée de personnes, et non par un seul individu », a-t-il déclaré.

Amazon Web Services (AWS), le fournisseur de services cloud du détaillant en ligne, a refusé de commenter cette histoire. Un porte-parole a déclaré qu'il s'agissait d'un « problème de fraude à la carte de crédit/à l'identité ». Selon la société de cybersécurité Cado, AWS a été victime d'une fraudeattaque de minage de Cryptoen août 2020. Un groupe connu sous le nom de TeamTNT a réussi à voler les identifiants AWS et à déployer XMRig, le malware de cryptojacking le plus courant, sur les serveurs, a déclaré la sociétédit à l'époque.

Alibaba Cloud a également été la cible d'une attaque de cryptojacking en novembre 2021, selon une étude deTrend Micro. Un représentant d'Alibaba Cloud a dirigé CoinDesk vers un page webà propos de leurs capacités anti-ransomware et a déclaré que l'entreprise ne ferait aucun commentaire pour le moment.

Cryptojackers : cachés à la vue de tous

Contrairement à d'autres attaques, les mineurs de Crypto prospèrent en étant furtifs sur de longues périodes de temps, afin de pouvoir extraire autant de Cryptomonnaie que possible, a déclaré Yeo.

Pour cette raison, « la règle d’or dans ce domaine est de ne pas faire trop de bruit », selon Wethington.

Les cryptojackers « détournent suffisamment d’appareils pour que leur puissance de traitement puisse être mise en commun » afin de créer un vaste réseau de cryptojacking plus efficace pour générer des revenus, a déclaré Yeo de Kaspersky. Cela conduit à un « ralentissement soudain des appareils ou à une augmentation des plaintes interentreprises concernant les performances des ordinateurs », a-t-il déclaré.

Cependant, les pirates informatiques optent souvent pour un mode opératoire discret : un botnet distribué à faible impact de mineurs XMRig, qui sont faciles à déployer et, « à moins que quelque chose ne soit horriblement mauvais dans la configuration », les clients du cloud ne le remarqueront T , a déclaré Wethington. Ces attaques sont généralement menées par des équipes de cryptojacking au lieu d'être proposées en tant que service, a-t-il déclaré.

En plus des méthodes astucieuses des pirates informatiques, les utilisateurs peuvent simplement penser que leur ordinateur vieillit et ralentit alors qu'en fait, les pirates utilisent leurs ressources pour exploiter des crypto-monnaies, a expliqué Tee d'Interpol.

Souvent, les logiciels malveillants résident dans des versions compromises de logiciels légitimes, de sorte que « les analyses de sécurité sont moins susceptibles de signaler l'application téléchargée comme une menace », a déclaré Yeo.

Plus généralement, les organisations sont confrontées à « de multiples fournisseurs de cloud, des contrôles de sécurité non standard et un manque de visibilité sur ce qui se passe dans leur environnement », a déclaré Rick McElroy, principal stratège en cybersécurité de VMware, à CoinDesk par courrier électronique.

De nombreuses vulnérabilités exploitées pour le cryptojacking sont les mêmes que celles utilisées dans d’autres types d’opérations cyberoffensives, a souligné Tee.

La sophistication croissante des cryptojackers

Dans son rapport sur la cybersécurité, Google Cloud a déclaré que 58 % des instances cloud attaquées avaient le logiciel malveillant téléchargé dans les 22 secondes suivant la compromission initiale, indiquant que les pirates utilisaient des outils automatisés.

McElroy a souligné une attaque sur un environnement Kubernetes. Kubernetes est un système open source permettant d'automatiser le déploiement, la mise à l'échelle et la gestion des applications conteneurisées.de plus en plus populaireparmi les entreprises technologiques commeSpotify et Réservation.com.

Sur le même sujet : Pourquoi certains développeurs de Bitcoin affirment que les lasers peuvent réduire les coûts énergétiques du minage

Les options Kubernetes sont disponibles sur des services cloud commeAWSet Google, ainsi que leur propre logiciel de gestion cloud, mais le système de conteneurs peut également être configuré et déployé indépendamment des fournisseurs.

Graboid, un type de malware de type ver, cible spécifiquement les conteneurs, qui ressemblent à des machines virtuelles mais fonctionnent sur Kubernetes. Cela montre l'innovation des cybercriminels du cryptojacking, ainsi que leur meilleure compréhension du manque d'outils défensifs protégeant les environnements Kubernetes, a déclaré McElroy.

La complexité et la sophistication des menaces ont augmenté ces dernières années, a déclaré Yeo de Kaspersky. « Le nombre de modifications uniques a également augmenté de 47 % au troisième trimestre 2021 par rapport au deuxième trimestre 2021 », a-t-il déclaré. Les modifications sont des changements apportés au code d'une application de minage de Crypto pour extraire un nouveau jeton ou s'adapter à de nouveaux systèmes.

Selon Tee, d’Interpol, les attaques de cryptojacking ne sont pas encore aussi sophistiquées que d’autres types de cyberattaques. Des scripts de cryptomining peuvent être achetés en ligne pour seulement 30 dollars, selon une étude d’une société de renseignement sur les menacesOmbres numériquesmontré en 2018.

Les méthodes d’attaque d’un cryptojacker

Selon McElroy, la méthode d'attaque la plus répandue est le phishing. En 2021, SonicWall a observé que le cryptojacking se propageait également via des logiciels piratés et crackés.

« Les systèmes qui T corrigés ou qui présentent des problèmes de configuration accessibles au public, comme les sites Web ou les serveurs de messagerie, restent également en tête de liste », a-t-il déclaré. Les pirates informatiques sont connus pour analyser les réseaux à la recherche de points de terminaison non protégés ; il peut s'agir de tout, des ordinateurs portables aux machines virtuelles sur des serveurs cloud, en passant par les appareils de l'Internet des objets (IoT) comme votre réfrigérateur intelligent.

En 2019, Interpol a découvert que plus de 20 000 routeurs étaient affectés par des logiciels malveillants de minage de Crypto illégaux. Opération poisson rougeL'opération, baptisée ainsi, a duré cinq mois et a impliqué les forces de l'ordre de dix pays d'Asie du Sud-Est. Grâce à ces routeurs, les pirates ont pu infecter les machines, et le logiciel de minage s'exécutait en réalité en arrière-plan des navigateurs, a expliqué Tee.

« Nous allons commencer à voir un certain nombre d’appareils informatiques de pointe utilisés à cette fin », a déclaré McElroy, ajoutant qu’il voit les attaquants cibler des cibles faciles, telles que les appareils IoT. Ceux-ci manquent généralement de « capacités de prévention, de détection et de réponse, car les entreprises ont donné la priorité au renforcement de la sécurité et de la visibilité au sein des environnements cloud », a-t-il noté.

Plus les cryptojackers se tourneront vers la surface d’attaque croissante offerte par les appareils IoT, plus les consommateurs devront être conscients de la menace pour se protéger.

« Pour se protéger spécifiquement contre les attaques de cryptojacking, il est également nécessaire de surveiller l’utilisation du processeur sur tous les points de terminaison, y compris ceux hébergés dans le cloud », a déclaré Yeo de Kaspersky.

Lectures complémentaires de la semaine minière de CoinDesk

Après une interdiction de courte durée, la ville de New York doit encore compter avec les mineurs de Crypto d'à côté

Les villes des États-Unis se demandent ce que signifie avoir des activités minières dans leurs communautés. Plattsburgh offre une étude de cas.

La Biélorussie attirera-t-elle les mineurs de Crypto dans le contexte des sanctions et de la guerre entre la Russie et l'Ukraine ?

Malgré des conditions économiques favorables, l’environnement politique d’un pays peut décourager les capitaux internationaux. Cet article fait partie de la Mining Week de CoinDesk.

À quoi ressemble une FARM de minage de Crypto ? Des photos saisissantes de la Sibérie à l'Espagne

Les journalistes de CoinDesk ont ​​parcouru l'Europe, l'Asie et l'Amérique du Nord pour capturer la diversité des installations de minage de Cryptomonnaie . Cet article fait partie de la Mining Week de CoinDesk.

CORRECTION (24 mars, 8h58 UTC) :Corrige l'orthographe du T-shirt d'Interpol.