Comment fonctionnent les “cryptominers” illicites ?
Il y a 2 catégories principales de “cryptominers” illicites :
1. Les binaires – qui sont des applications téléchargées et installées sur l’appareil ciblé pour miner des cryptomonnaies. Les solutions ESET considèrent ces applications comme des Chevaux de Troie.
2. Ceux qui utilisent un navigateur – ce sont principalement des JavaScript embarqués sur une page web et dont le but est de miner de la cryptomonnaie par le biais des visiteurs du site web. Cette méthode est nommée “cryptojacking” and est devenue populaire courant 2017. ESET détecte la majorité des scripts de “cryptojacking” et des application potentiellement indésirables.
Attention
La majorité des tentatives de “cryptomining” visent le Monero ou l'Ethereum. Ces cryptomonnaies donnent plusieurs avantages aux cybercriminels par rapport au BitCoin : un meilleur d’anonymisation et, plus important, elles peuvent être minées depuis des CPUs et des GPUs standards et pas uniquement depuis du matériel spécialisé et onéreux. Le“cryptomining” et le “cryptojacking” ont été détectés sur toutes les plateformes les plus utilisées ainsi que sur Android et iOS.
Pourquoi les PME devraient se soucier des Cryptominers ?
30% des organisations du Royaume-Uni ont été victime de “cryptojacking” durant le mois dernier, selon un sondage mené auprès de 750 responsables IT dans le pays. Ces statistiques informent sur deux choses :
1. Malgré le fait que le “cryptomining” illicite soit une menace avec peu de conséquences, les organisations ne devraient pas sous-estimer le risque encouru. Le “mining” consomme une grande partie des ressources des machines et réduit la performance et la productivité. Les processus additionnels surchargent les composants et peuvent endommager les appareils, réduisant ainsi leur longévité.
2. Les “cryptominers” exposent les failles de sécurité des organisations qui peuvent mener à des perturbations plus importantes. En raison de leurs performances élevées, les réseaux des entreprises sont des cibles de choix comparés aux appareils domestiques des particuliers qui offrent moins de ressources et des gains plus faibles.
Comment reconnaître une attaque de Cryptomining ?
Le “cryptomining” et le “cryptojacking” sont typiquement associés à une utilisation intensive du processeur qui a des conséquences très visibles :
- Réduction de la performance et de la productivité
- Consommation de courant inhabituellement élevée
- Trafic réseau suspect
Sur les appareils Android, on peut remarquer également les choses suivantes :
- Réduction des performances de la batterie
- Augmentation significative de la température de l'appareil
- Réduction des performances de l'appareil
- Dégâts potentiellement physiques provenant du gonflement de la batterie
Comment protéger votre organisation ?
1. Protéger les postes de travail, les serveurs et les autres appareils avec une solution de sécurité multicouche et capable de détecter les scripts indésirables ainsi que les Chevaux de Troie.
2. Implémenter une solution de détection des intrusions (IDS) qui va vous aider à identifier le trafic suspect et les communications liées au “cryptomining” illicite (domaines infectés, connexions sortantes des ports 3333, 4444 ou 8333, signes de persistance, etc.)
3. Augmenter la visibilité de votre réseau en utilisant une console de gestion capable de renforcer les règles de sécurité, d’observer les changement dans le réseau ainsi que de de renforcer la sécurité sur les machines.
4. Former vos collaborateurs (ainsi que le management et les administrateurs) sur les pratiques visant à maintenir une bonne “cyber-hygiène” : comme l’utilisation de mots de passe forts, renforcés avec une double authentification pour améliorer la protection des systèmes en cas de fuite de mots de passe ou d’attaque par “brute-force”.
Mesures additionnelles
5. Suivre le principe du dernier privilège : tous les utilisateurs devraient avoir des comptes avec le moins de permissions possibles, tout en leur permettant d’accomplir leurs tâches. Cette approche diminue le risque que des scripts ou des logiciels malveillents soient installés ou connectés au réseau de l’entreprise.
6. Contrôler les logiciels et restreindre leur installation et leur liberté afin d’empêcher l’installation de malwares ou de scripts malveillants.
7. Implémenter des règles de mises à jour et de correctifs pour réduire la probabilité de compromettre les systèmes de l’organisation. De nombreux “cryptominers” avancés utilisent des failles connues, comme EternalBlue, pour exploiter les faiblesses d’un système qui n’est pas tenu à jour.
8. Surveiller l’utilisation anormales de ressources (courant, etc.) pouvant être liées à l’activité d’un “cryptominer” indésirable.
Empêchez le cryptomining dès maintenant
Protégez-vous efficacement contre le “cryptomining” grâce à la protection multicouche ESET capable de détecter les logiciels et scripts malveillants, tel que les Chevaux de Troie. La solution inclut les modules Ransomware Shield et LiveGrid®. Combinez le puissant moteur d’analyse ESET à ESET Cloud Administrator pour obtenir une sécurité hors pair et une vue détaillée de l’activité de votre réseau.