Comment fonctionnent les logiciels malveillants de cryptomining ?
Il y a deux types de cryptomining illicites :
1. le mode binaire - il s'agit d'applications malveillantes téléchargées et installées sur l'appareil ciblé avec l'objectif de miner de la cryptomonnaie. Les solutions de sécurité ESET identifient la plupart de ces applications comme étant des chevaux de troie.
2. le mode navigateur - c'est un code JavaScript malveillant intégré dans une page Web (ou dans certains de ses composants ou objets), conçu pour miner la crypto-monnaie depuis les navigateurs des visiteurs du site. Cette méthode appelée cryptojacking est de plus en plus populaire auprès des cybercriminels depuis mi-2017. ESET détecte la majorité de ces scripts de cryptojacking comme étant des applications potentiellement indésirables.
Soyez vigilant
La plupart des logiciels de cryptomining tentent d'exploiter Monero ou Ethereum. Ces cryptomonnaies offrent aux malfaiteurs un certain nombre d'atouts par rapport au très célèbre bitcoin. Elles ont en effet un meilleur niveau d'anonymat et, plus important encore, elles peuvent être exploitées avec des processeurs et des GPU classiques au lieu d’un matériel spécifique plus coûteux. Des attaques de cryptomining et de cryptojacking ont été détectées sur toutes les plates-formes d'ordinateurs les plus populaires, ainsi que sur Android et iOS.
Voici pourquoi les PME devraient être particulièrement attentives aux logiciels de cryptomining.
Une enquête a révélé que 30% des entreprises au Royaume-Uni (sur un total de 750 responsables informatique sondés), ont été victimes d'une attaque de cryptojacking au cours du mois précédent. Ces chiffres permettent de mettre en exergue deux états de faits :
1. Même si le cryptomining est souvent perçu comme une menace de moindre mesure, les entreprises ne doivent pas sous-estimer le risque que cela représente. De plus, le minage détourne généralement une grande partie de la puissance de traitement du matériel, ce qui réduit les performances et la productivité de celui-ci. Ce processus extrêmement gourmand en énergie peut générer des dégâts pour les composants matériels et endommager les dispositifs ciblés en raccourcissant leur durée de vie.
2. Les logiciels de cryptomining exposent à des vulnérabilités et fragilisent la structure de cybersécurité d’une entreprise, ce qui peut entraîner des conséquences plus graves. De plus, les infrastructures et réseaux d’entreprise, de par leur structure et logistique, constituent une cible plus attirante que les dispositifs d'un utilisateur domestique et promettent aux cybercriminels des gains plus importants en un minimum de temps.
Comment identifier une attaque de cryptomining ?
Le minage de cryptomonnaie, notamment sous forme de cryptojacking, est associée à une activité extrêmement intense du processeur dont les effets secondaires sont facilement identifiables. Surveillez donc les points suivants :
- une réduction visible des performances et de la productivité de l'infrastructure
- une consommation d'énergie inhabituelle
- tout trafic réseau suspect
Sur les appareils Android, une charge additionnelle de calcul entraîne :
- une durée de vie de batterie plus courte
- une augmentation notable de la température de l'appareil
- une baisse de productivité de l'appareil
- des dommages physiques causés par la surcharge de la batterie dans les cas les plus graves
Comment prémunir votre entreprise des attaques de cryptomining ?
1. Protégez les terminaux, serveurs et autres périphériques avec des solutions de sécurité fiables et multicouche, capables de détecter les scripts potentiellement indésirables ainsi que les chevaux de Troie destinés au crypto minage.
2. Implémentez un logiciel de détection d'intrusion qui permet d'identifier les comportements réseau suspects et toute communication potentiellement liée au crypto-minage malveillant (domaines infectés, connexions sortantes sur des ports connus pour être liés au minage tels que 3333, 4444 ou 8333, ainsi que tout signe de persistance, etc.).
3. Renforcez votre visibilité sur votre réseau en utilisant une console de gestion à distance pour renforcer les stratégies de sécurité et surveiller l'état du système ainsi que la sécurité endpoint et les serveurs de l'entreprise.
4. Mettez en place des formations pour tous les employés (y compris la direction et les administrateurs réseau) sur les bonnes pratiques à adopter en matière de cybersécurité et notamment sur les techniques pour créer des mots de passe robustes, mais éduquez-les aussi à l'authentification à deux facteurs et à améliorer la protection des systèmes de l'entreprise en cas de fuites ou de mots de passe forcés.
Mesures de protection supplémentaires
5. Suivez le principe du moindre privilège. Chaque utilisateur doit avoir le moins d'autorisations possibles sur son compte, et ne privilégiez que ce qui est nécessaire à accomplir ses missions quotidiennes. Cette approche réduit considérablement le risque que les utilisateurs et les administrateurs soient manipulés en vue d'ouvrir ou d'installer un cryptomining ou d'autres logiciels malveillants sur un périphérique connecté au réseau de l'entreprise.
6. Utilisez des contrôles d'application qui permettent de limiter le logiciel autorisé à s'exécuter au minimum, ce qui empêche ainsi l'installation de programmes malveillants de type cryptomining.
7. Adoptez une politique rigoureuse de mise à jour et de correctifs afin de réduire considérablement les risques de vulnérabilités déjà détectées par certaines entreprises, car c'est de cette manière que certaines menaces de cryptomining se sont propagées telles qu'EternalBlue.
8. Surveillez les systèmes de l'entreprise pour identifier immédiatement une utilisation excessive ou toute autre anomalie de consommation d'énergie pouvant indiquer une activité de cryptomining non sollicitée.
Protégez-vous du cryptominage dès à présent
Optez pour une protection efficace contre le cryptomining avec les solutions de sécurité endpoint multicouche d'ESET qui sont capables d'identifier des scripts potentiellement indésirables ainsi que les chevaux de Troie de cryptomining. Cela inclut les protections Ransomware Shield et LiveGrid® via le cloud et la protection contre les attaques réseau. Associez le puissant moteur d'analyse ESET avec ESET Cloud Administrator (ECA) et obtenez une visibilité réseau complète.