Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Une vulnérabilité Microsoft permet à des cybercriminels de miner la cryptomonnaie Monero

octobre 2017 par ESET

ESET® a découvert un réseau de botnets exploitant une vulnérabilité dans Windows Server 2003® leur permettant d’installer à l’insu de leurs propriétaires une version modifiée d’un mineur open source.

« Le minage est le procédé par lequel les transactions des cryptomonnaies sont sécurisées. À cette fin, les mineurs effectuent avec leur matériel informatique des calculs mathématiques pour le réseau de la crypto. Comme récompense pour leurs services, ils collectent les cryptos nouvellement créées ainsi que les frais des transactions qu’ils confirment »1. Ces concentrations de ressources, rarement disponibles sur un seul serveur, obligent souvent les mineurs à se regrouper via des botnets pour augmenter leurs ressources de calcul.

Le malware qui crée de l’argent

Les experts ESET pensent que cette faille est exploitée depuis mai 2017. Les cybercriminels ont créé un réseau de botnet comprenant une centaine de machines. Ils ont ainsi généré plus de 63 000 dollars en cryptomonnaie Monero. ESET nomme cette menace Win32/CoinMiner.AMW trojan.

« Bien que Monero soit loin derrière Bitcoin en termes de capitalisation, il existe trois principales raisons pour lesquelles les cybercriminels l’exploitent », déclare Peter Kálnai, Malware Researcher chez ESET. Les voici.
• « Les transactions Monero sont intraçables
• Monero s’appuie sur un algorithme appelé CryptoNight qui attribue clairement le travail effectué
• CryptoNight favorise l’utilisation des CPU et non pas des GPU comme le Bitcoin », conclue-t-il

Exploitation de la vulnérabilité Win32/CoinMiner.AMW trojan

En juillet 2015, Microsoft® a mis fin au support des mises à jour régulières pour Windows Server 2003. Malgré cela, en juin 2017 Microsoft a corrigé plusieurs vulnérabilités afin d’éviter que de grandes attaques telles que WannaCry se produisent à nouveau.

Bien qu’elles soient disponibles, les mises à jour ne sont pas forcément appliquées : les administrateurs évitent leur installation automatique (plus d’informations dans notre livre blanc SCADA et notre tribune sur le coût des mises à jour d’OS vieillissants). « Les utilisateurs de Windows Server 2003 sont fortement invités à appliquer entre autres la mise à jour de sécurité KB3197835 », déclare Michal Poslušný, Malware Analyst chez ESET. « Si les mises à jour automatiques échouent, les utilisateurs doivent les télécharger et les installer manuellement ».

Estimation du nombre de victimes et rentabilité

« En nous basant sur les performances des CPU équipant habituellement les serveurs 2003 et les gains réalisés, nous avons tenté de déterminer le nombre de serveurs infectés. Nous estimons que le réseau de botnets génère 5,5 XMR2 par jour, soit 825 dollars américains selon le taux de change actuel. Le montant total de l’opération est estimé à 63 000 dollars américains », explique Benoît Grunemwald, Cybersecurity Leader chez ESET.

Cette activité cybercriminelle démontre l’ingéniosité de ses créateurs et le relatif niveau de compétences requis. Par ailleurs, les faibles coûts opérationnels nécessaires permettent d’obtenir des revenus significatifs. Dans ce cas précis, les cybercriminels ont détourné le logiciel de minage légitime et ciblé d’anciens systèmes non patchés.

1 Citation du site Internet https://bitcoin.fr/minage/
2 XMR est le code utilisé sur les places de marché, comme USD pour les dollars américains


Voir les articles précédents

    

Voir les articles suivants