Les cybercriminels piratent les comptes cloud d’entreprise pour exploiter leurs ressources en ligne, et miner des monnaies virtuelles. Ce phénomène, mesuré par l’éditeur Bitdefender, montre une désaffection simultanée pour le ransomware, désormais moins rentable.
Les attaquants sont passés des ransomwares au minage de crypto-monnaies, afin de générer davantage de revenus. En six mois, cette dernière pratique a cru en France de 11% à 15,82%, tandis que les rançongiciels ont décliné de 17,29% à 12,62%.
Cette tendance, également constatée chez nos voisins, devrait affecter un nombre croissant de datacenters avec des conséquences pour les entreprises qui devront régler des factures plus lourdes qu’auparavant.
Le datacenter, prochaine cible des cybercriminels
Au fil du temps, le minage des cryptomonnaies exige un nombre croissant de ressources de calcul. Cela détourne les hackers du contrôle de simples botnets, ces réseaux de PC d’utilisateurs individuels connectés à Internet. Les grands datacenters et les infrastructures cloud deviennent de nouvelles cibles car on y trouve une faculté de calcul élastique pour créer et contrôler virtuellement de puissantes fermes de serveurs.
Depuis une décennie, de plus en plus d’entreprises puisent chez les prestataires cloud et les hébergeurs de proximité des ressources de calcul ou de stockage répondant à leurs besoins fluctuants ; elles les payent à l’usage par abonnement, souvent par carte bancaire. En dérobant les données d’authentification, via une attaque d’ingénierie sociale ou une faille de sécurité non corrigée, les cybercriminels prennent le contrôle de ces ressources externalisées. Dès lors, il leur suffit de faire tourner des instances virtuelles parasites, puissantes et gourmandes en ressources sur lesquelles un malware d’extraction de cryptomonnaie est installé.
Des clusters compromis à l’insu des locataires
Dans la mesure où la détection de machines virtuelles indésirables peut prendre plusieurs semaines, les pirates auront déjà extrait l’équivalent de centaines de milliers d’Euros en cryptomonnaie, lorsque l’entreprise devra régler sa facture, plus élevée qu’à l’ordinaire.
Dernièrement, l’exploitation de la vulnérabilité EternalBlue pour infecter des serveurs Windows a montré une façon parmi d’autres d’accéder à d’importantes ressources de calcul, très rapidement. La vulnérabilité connue sous le nom d’Apache Struts lors du vol de données Equifax aurait été utilisée par des cybercriminels pour compromettre des serveurs Linux et y exploiter des ressources persistantes.
Les exploits en cascade et les outils de persistance œuvrent ensemble à la compromission des serveurs et se propagent automatiquement sur les réseaux, permettant aux pirates d’implanter un logiciel d’extraction et de tirer profit de la puissance de calcul du cloud.
Des attaques quasi-imperceptibles
Les nouvelles attaques de cryptojacking sont capables de mieux dissimuler leurs traces en limitant la pression exercée sur le CPU. En exploitant des scripts PowerShell ou des exploits avancés afin d’éviter la détection mise en place au niveau du terminal, les attaquants peuvent exécuter efficacement un logiciel d’extraction, directement au sein de la mémoire du serveur ciblé. Dès lors que l’attaque ne fait pas tourner le processeur à pleine vitesse, elle peut rester invisible pendant une longue période.
Les attaquants peuvent utiliser de nombreuses techniques d’attaque, que ce soit côté client ou côté serveur, pour déployer leur charge utile et commencer l’extraction en détournant les ressources informatiques hébergées de l’entreprise.