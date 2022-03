Les systèmes Cloud sont désormais une cible privilégiée pour les spécialistes du minage de crypto-monnaies

mars 2022 par Trend Micro

Dans ce rapport, intitulé ‘A Floating Battleground Navigating the Landscape of Cloud-Based Cryptocurrency Mining’, Trend Micro décrypte le mode opératoire de certains groupes d’attaquants avec pour objectifs d’attirer l’attention sur l’impact et les dommages qu’ils pourraient causer au sein d’organisations de plus en plus dépendantes du Cloud, et de livrer des conseils pratiques sur la manière de se défendre contre ces attaques.

« Aujourd’hui, quelques heures de compromission suffisent pour que les criminels tirent profit de leurs attaques. C’est pourquoi nous assistons à une lutte permanente pour accéder aux ressources Cloud », explique Nicolas Arpagian, Director Cybersecurity Strategy, Trend Micro. « Cela s’apparente à un challenge ‘Capture The Flag’, dans lequel l’infrastructure Cloud de la victime constitue un actif à remporter pour conduire des opérations encore plus lucratives ».

Selon le rapport Trend Micro, les acteurs de la menace sont de plus en plus nombreux à rechercher ces instances exposées, à exploiter ces dernières et à forcer brutalement les identifiants SecureShell (SSH) afin de compromettre les actifs Cloud pour miner les cryptomonnaies. Leurs cibles ont généralement des logiciels obsolètes dans leur infrastructure Cloud, un système de sécurité Cloud perfectible, voire des connaissances insuffisantes sur les pratiques de sécurité à appliquer en matière de services Cloud : des failles de ce fait facilement exploitées par les attaquants cherchant à accéder aux systèmes et les compromettre.

Les entreprises ont particulièrement investi dans le Cloud durant la pandémie. Toutefois, la simplicité avec laquelle de nouvelles ressources peuvent être déployées a également laissé de nombreuses instances en ligne, sans correctifs et mal configurées, et ce pendant trop longtemps. exposant ainsi plus fortement les organisations. D’une part, cette charge de travail informatique supplémentaire menace de ralentir les services destinés aux utilisateurs des organisations victimes, de l’autre elle génère une augmentation des coûts d’exploitation de près de 600 % pour chaque système infecté.

Par ailleurs, le minage de cryptomonnaies peut également être précurseur d’une compromission plus grave. De nombreux acteurs de la menace déploient en effet des logiciels de minage pour générer des revenus supplémentaires avant que les acheteurs en ligne n’achètent des accès pour des rançongiciels, des vols de données, etc.

Le rapport Trend Micro détaille l’activité de plusieurs groupes d’acteurs malveillants œuvrant dans le minage de cryptomonnaies, parmi lesquels :

• Outlaw, qui compromet les appareils IoT et les serveurs Cloud Linux en exploitant des vulnérabilités connues ou en effectuant des attaques SSH par force brute.

• TeamTNT, qui exploite un logiciel vulnérable pour compromettre des hôtes avant de dérober les informations d’identification d’autres services pour l’aider à se déplacer vers de nouveaux hôtes et à abuser de tout service mal configuré.

• Kinsing, qui met en place un kit XMRig pour le minage de Monero et élimine tous les autres mineurs du système de la victime.

• 8220, qui a été observé en train de combattre Kinsing pour les mêmes ressources. Ils s’éjectent fréquemment l’un l’autre d’un hôte et installent ensuite leurs propres mineurs de cryptomonnaies.

• Kek Security, qui a été associé à des malwares IoT et à l’exécution de services de botnet.

Afin d’atténuer la menace des attaques de minage de cryptomonnaies dans le Cloud,

Trend Micro recommande aux organisations d’adopter les mesures suivantes :

• S’assurer que les systèmes sont à jour et n’exécutent que les services requis.

• Déployer un pare-feu, un IDS/IPS et une sécurité des endpoints dans le Cloud pour limiter et filtrer le trafic réseau vers et depuis les hôtes illégitimes connus.

• Éliminer les erreurs de configuration grâce aux outils de gestion de la posture de sécurité du Cloud.

• Surveiller le trafic vers et depuis les instances Cloud et filtrer les domaines associés à des pools miniers connus.

• Déployer des règles qui surveillent, du point de vue coûts, les ports ouverts, les changements de routage DNS et l’utilisation des ressources CPU.

« Les menaces de ce type nécessitent une sécurité spécifique, s’appuyant sur une plateforme centralisée permettant aux équipes de cartographier leur surface d’attaque, d’évaluer les risques et d’adopter la stratégie de protection ad hoc sans engendrer de frais généraux excessifs », conclut Nicolas Arpagian.