Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Classement des malwares : le minage de cryptomonnaie passe devant les ransomwares

septembre 2018 par Skybox Security

Skybox® Security annonce la publication d’une mise à jour de son rapport Vulnerability and Threat Trends Report qui analyse les vulnérabilités, les exploits et les menaces en jeu. Le rapport, rédigé par l’équipe d’analystes en sécurité du Skybox® Research Lab, vise à aider les entreprises à aligner leur stratégie de sécurité sur la réalité des menaces actuelles.

La mise à jour à mi-année s’intéresse aux tendances observées entre janvier et juin 2018. Parmi les enseignements les plus significatifs, le remplacement des ransomwares comme outil de cybercriminalité de choix par les logiciels de minage de cryptomonnaie. Au cours des six derniers mois de 2017, les ransomwares représentaient 32% des attaques, alors que les attaques de minage de cryptomonnaie ne représentaient, elles, que 7%. Au premier semestre 2018, les chiffres se sont presque exactement inversés : les attaques de minage de cryptomonnaie représentent 32% des attaques, contre 8% pour les ransomwares.
« Ces dernières années, les ransomwares étaient pour les cybercriminels le moyen par excellence de gagner de l’argent rapidement », déclare Karl Buffin, Directeur des Ventes Europe du Sud chez Skybox Security. « Ce genre de programmes ne nécessitent pas d’exfiltrer des données, il suffit d’utiliser le cryptage / chiffrement pour retenir en otage les données et une note explicative indiquant à la victime comment elle peut payer la rançon. Dans le cas du minage de cryptomonnaie, les criminels peuvent aller directement à la source et miner des cryptomonnaies eux-mêmes. Il n’est plus question de savoir s’ils seront payés ou pas. »

Le minage de cryptomonnaie utilise la puissance de calcul d’actifs compromis pour créer de nouveaux blocs dans la blockchain de Bitcoin ou Monero. Le minage de cryptomonnaie malveillant ou non-autorisé permet effectivement de contourner un certain nombre d’inconvénients liés aux ransomwares :
• Il n’est pas nécessaire d’informer la victime de l’attaque pour qu’elle paye la rançon – l’attaque peut donc continuer indéfiniment en toute discrétion
• Le cybercriminel peut miner les cryptomonnaies sur une longue période de temps, plutôt que de recevoir le paiement de la rançon en une fois
• La victime n’a pas à prendre la décision de payer – c’est l’attaque elle-même qui contrôle la quantité d’argent qui sera générée

« Les ransomwares ont suscité beaucoup d’attention ces dernières années, notamment par le biais de logiciels comme WannaCry, NotPetya et BadRabbit », explique Isabelle Eilam-Tedgui, Directrice des Ventes France & Belux chez Skybox Security. « Dans une certaine mesure, les entreprises ont pris note du phénomène et ont mis en place des mesures de précaution efficaces, s’assurant d’avoir des sauvegardes fiables et contrecarrant même les attaquants avec des logiciels de décryptage. Dès lors, le minage de cryptomonnaie offre aux cybercriminels une voie de moindre résistance. La récente hausse de la valeur des cryptomonnaies a aussi fait de ce type d’attaques une option particulièrement rentable. »

D’autres conclusions citées dans le rapport semblent être liées à l’augmentation de la pratique du minage de cryptomonnaie. Les vulnérabilités internet et mobiles représentent près d’un tiers de toutes les nouvelles vulnérabilités publiées au premier semestre 2018. C’est Google Android qui, de loin, compte le plus de vulnérabilités durant cette période, dépassant le nombre total de vulnérabilités comptabilisées par les cinq fournisseurs suivants les plus vulnérables. Android a également enregistré 200 vulnérabilités de plus qu’au second semestre de 2017. La pratique malveillante de minage de cryptomonnaie a trouvé un avantage à cibler l’app store du leader mondial du marché des appareils mobiles et, avec lui, des milliards de cibles potentielles dans le monde entier.

Les malwares exploitant les failles des navigateurs sont également en hausse au premier semestre 2018. « De tous les logiciels actuels, les navigateurs web sont considérés comme les plus vulnérables aux attaques malveillantes », ajoute Isabelle Eilam-Tedgui. « Ils sont en interaction constante avec des sites web et des applications que les cybercriminels ont infectés à l’aide de malwares comme les logiciels de minage et autres menaces via le web, et qui sont particulièrement difficiles à détecter. Le malware de minage de cryptomonnaie peut rester actif aussi longtemps que la session web, et les mineurs ‘sans fichier’ peuvent également se cacher des outils de sécurité traditionnels car il n’y a pas de téléchargement ou de pièce jointe à analyser. »

Quelle que soit la charge utile, les attaquants qui cherchent à exploiter les vulnérabilités ont plus de ressources que jamais auparavant. Non seulement les places de marché du dark web regorgent d’outils et de services d’attaque, et les forums criminels débordent d’informations sur le sujet, mais le nombre de vulnérabilités a également explosé. Les nouvelles vulnérabilités recensées par la base de données nationale des vulnérabilités de MITRE ont doublées en 2017 par rapport à l’année précédente et l’année 2018 semble être en bonne voie pour pulvériser ce record. Le bond de ces chiffres en 2017 et leur niveau toujours élevé s’explique en grande partie par les améliorations d’ordre organisationnel au sein de MITRE ainsi que par l’intensification de la recherche en matière de sécurité menée par les fournisseurs et les tiers, notamment les programmes de bug bounty (récompense pour signalement de bugs) parrainés par les fournisseurs. Les entreprises doivent, quoi qu’il en soit, trouver des moyens plus efficaces et plus rapides de détecter les signaux et de se prémunir contre les risques liés aux vulnérabilités avant que l’attaque n’ait lieu.

Skybox recommande d’établir un programme de gestion des vulnérabilités centrée sur les menaces (TCVM) afin de s’adapter à l’évolution du paysage des menaces sur le court et long terme. L’approche TCVM permet aux praticiens de la sécurité de se concentrer sur le petit groupe de vulnérabilités les plus susceptibles d’être utilisées lors d’une attaque en intégrant les renseignements en matière de vulnérabilités et de menaces dans le cadre de leurs actifs, réseaux et contrôles de sécurité. De cette manière, les mesures correctives ciblent les zones de risque les plus importantes tout en tirant parti de toutes les options d’intervention – des patches aux changements portant sur le réseau (changement de règles de firewalls, signature IPS ou autres).


Voir les articles précédents

    

Voir les articles suivants