Massives attaques sur les crypto-flux

Depuis la création du premier Bitcoin en 2009, de nombreuses monnaies alternatives sont apparues, et récemment, ce sont par exemple Litecoin ou Monero qui se sont distinguées. Preuve aujourd’hui du "crédit" qui lui est accordé, des marchés financiers comme le Chicago Board Options exchange ou le Chicago Mercantile Exchange négocient désormais des contrats à terme Bitcoin et, en novembre 2017, le Bitcoin a été valorisé à près de 18 000 dollars.

Las, le 31 janvier dernier était démantelé le botnet Smominru, l’un des plus grands casses de l’ère des monnaies numériques. Conçu pour détourner Monero, Smominru ressemblait à un vaste réseau de robots infectés, au sein duquel le virus s’était propagé en utilisant les exploits EternalBlue et EsteemAudit, volés à la NSA ! Il a rapporté à ses auteurs 8 900 Monero soit la bagatelle d’environ 3,6 millions de dollars.

La forte évolution de la valeur des monnaies numériques attise toutes les convoitises, et s’accompagne naturellement d’une montée de l’opportunisme malveillant des hackers non seulement envers les nouvelles monnaies, mais aussi envers les utilisateurs. Autrefois réservé aux cybercriminels ou aux opérateurs clandestins principalement attirés par ces transactions anonymes, les monnaies numériques, en se démocratisant, sont devenues un terrain de jeu obscur et lucratif pour toute la cybercriminalité, et les menaces s’amplifient bien au-delà des simples demandes de rançon.

Toutes les cryptomonnaies sont en effet créées de manière identique par le minage, qui consiste à résoudre des problèmes mathématiques de haute complexité pour débloquer des unités monétaires. La complexité croissante crée une rareté – donc une valeur –, au même titre que le fait le plafonnement du nombre d’unités pouvant être exploitées…

Cette complexité a rendu quasi impossible l’exploitation des Bitcoins en dehors d’environnements désormais dédiés de supercalculateurs ; or, certaines solutions alternatives peuvent, elles, être exploitées efficacement avec de simples PC de bureau. Les mineurs investissent des instances de CPU et de l’énergie à l’insu des utilisateurs, pour générer les récompenses potentielles : des unités monétaires gratuites. Monero étant justement l’une de ces rares cryptomonnaies de valeur pouvant être exploitée avec la puissance CPU, elle est devenue la cible privilégiée de mineurs légitimes, mais aussi de hackers.

En augmentant la disponibilité de ce type de produits financiers digitalisés, la surface de risque a elle aussi mécaniquement augmenté. Ainsi, les portefeuilles et les échanges en cryptomonnaie ont également été la cible de cybercriminels qui ont eu recours à diverses techniques, plus classiques, comme l’hameçonnage, Ponzi ou des Backdoors, mais ciblant directement des flux type "coins". Même les ICO, un moyen courant pour les entreprises de réaliser des levers de fond, via l’émission d’actifs numériques échangeables contre des cryptomonnaies, ont été touchés… ce qui n’a pas empêché les entreprises qui y ont eu recours, de récolter 2,2 milliards de dollars jusqu’en septembre 2017.

Où l’argent va, la menace ira !

Tous ces éléments témoignent d’une tendance générale. Comme les hackers cherchent par tout moyen à répandre les logiciels malveillants et les machines infectées, il est évident que la vague des coinminers n’est pas qu’un épiphénomène. Si le bitcoin était initialement utilisé pour le paiement de rançons et le déblocage d’ordinateurs infectés, la popularité actuelle des cryptomonnaies fait le lit d’autres techniques tristement connues comme les stratagèmes d’hameçonnage, le déploiement de logiciels malveillants, le minage par navigateur ou la création de portefeuilles frauduleux ou d’autres logiciels pour s’attaquer aux utilisateurs.

La cryptomonnaie mania a également poussé les hackers à "reconfigurer" leurs botnets pour délivrer ces nouveaux malwares permettant de miner, plutôt que le traditionnel ransomware ou ils ne toucheront (au mieux) qu’une fois (si la personne paye la rançon).

À noter également que le nombre de nouvelles souches de logiciels malveillants liés à la cryptomonnaie, conçues pour le vol d’identité ou l’exploitation abusive des ressources du système, dépasse désormais le nombre de souches de logiciels de rançon type "script kiddie", très répandues en 2016 et au début de 2017.

Virus, modules et navigateur… comment attaquer le coinmining ?

Les virus dédiés au coinmining présentent de nombreux avantages pour les hackers : l’exploitation minière continue pendant que les machines sont en marche, la persistance ou la capacité de répandre les logiciels malveillants par le biais de campagnes d’e-mailing et sur le Web, ainsi que les interactions entre les mobiles et les ordinateurs. Cependant, leur efficacité n’est pas sans faille et ils sont facilement détectables.

Le coup de projecteur sur les cryptomonnaies nourrit donc les ambitions de faux monnayeurs à la fois amateurs et acteurs aguerris au Aquin, qui pourraient menacer l’utilisation intensive en CPU, liée à l’exploitation minière et au développement des monnaies virtuelles. Le seul recours efficace à ce jour passe par l’utilisation, en plus des moyens "traditionnels", de passerelles de messagerie disposant de mécanismes de détection avancés tels que le Sandboxing afin de bloquer ces nouvelles menaces efficacement et au plus tôt.