Une vulnérabilité Microsoft permet à des cybercriminels de miner la cryptomonnaie Monero

0

ESET a découvert un réseau de botnets exploitant une vulnérabilité dans Windows Server 2003 leur permettant d’installer à l’insu de leurs propriétaires une version modifiée d’un mineur open source. Nommé Win32/CoinMiner.AMW trojan, est exploitée depuis mai 2017. Les cybercriminels ont créé un réseau de botnet comprenant une centaine de machines. Ils ont ainsi généré plus de 63 000 dollars en cryptomonnaie Monero.

En juillet 2015, Microsoft a mis fin au support des mises à jour régulières pour Windows Server 2003. Malgré cela, en juin 2017 Microsoft a corrigé plusieurs vulnérabilités afin d’éviter que de grandes attaques telles que WannaCry se produisent à nouveau.

Bien qu’elles soient disponibles, les mises à jour ne sont pas forcément appliquées : les administrateurs évitent leur installation automatique (plus d’informations dans notre livre blanc SCADA et notre tribune sur le coût des mises à jour d’OS vieillissants). « Les utilisateurs de Windows Server 2003 sont fortement invités à appliquer entre autres la mise à jour de sécurité KB3197835 », déclare Michal Poslušný, Malware Analyst chez ESET. « Si les mises à jour automatiques échouent, les utilisateurs doivent les télécharger et les installer manuellement ».

Le malware qui crée de l’argent

« Le minage est le procédé par lequel les transactions des cryptomonnaies sont sécurisées. À cette fin, les mineurs effectuent avec leur matériel informatique des calculs mathématiques pour le réseau de la crypto. Comme récompense pour leurs services, ils collectent les cryptos nouvellement créées ainsi que les frais des transactions qu’ils confirment » expliquent dès ESET. Ces concentrations de ressources, rarement disponibles sur un seul serveur, obligent souvent les mineurs à se regrouper via des botnets pour augmenter leurs ressources de calcul.

« Bien que Monero soit loin derrière Bitcoin en termes de capitalisation, il existe trois principales raisons pour lesquelles les cybercriminels l’exploitent », déclare Peter Kálnai, Malware Researcher chez ESET. « Les transactions Monero sont intraçables car Monero s’appuie sur un algorithme appelé CryptoNight qui attribue clairement le travail effectué. En plus, CryptoNight favorise l’utilisation des CPU et non pas des GPU comme le Bitcoin », conclue-t-il.

« En nous basant sur les performances des CPU équipant habituellement les serveurs 2003 et les gains réalisés, nous avons tenté de déterminer le nombre de serveurs infectés. Nous estimons que le réseau de botnets génère 5,5 XMR2 par jour, soit 825 dollars américains selon le taux de change actuel. Le montant total de l’opération est estimé à 63 000 dollars américains », explique Benoît Grunemwald, Cybersecurity Leader chez ESET.

Cette activité cybercriminelle démontre l’ingéniosité de ses créateurs et le relatif niveau de compétences requis. Par ailleurs, les faibles coûts opérationnels nécessaires permettent d’obtenir des revenus significatifs. Dans ce cas précis, les cybercriminels ont détourné le logiciel de minage légitime et ciblé d’anciens systèmes non patchés.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @drodriguezleal.

Leave A Reply