Un nouveau maliciel mineur de Monero se propage avec EternalBlue

Près d’un an après leur divulgation par les Shadow Brokers, les outils offensifs attribués à la NSA tels que EternalBlue continuent de faire parler d’eux. Et cette fois-ci encore, dans une opération de crypto-jacking.

Proofpoint a ainsi récemment fait état d’un botnet baptisé Smominru qui détourne les systèmes affectés et utilise leurs ressources de calcul pour miner du Monero. Selon les chercheurs de l’éditeur, Smominru utilise l’exploit EternalBlue pour se propager, via le protocole SMB. Plus de 500 000 machines à travers le monde auraient ainsi déjà été compromises. Les opérateurs du botnet auraient déjà remplies leurs poches d’environ 3 M$.

La démarche renvoie directement à Adylkuzz, un autre botnet de crypto-deniers documenté par les mêmes chercheurs au printemps dernier. Mais selon Proofpoint, Smominru « est probablement deux fois plus étendu qu’Adylkuzz ». Et cela au moins en valeur. Car comme le relèvent les chercheurs, « Bitcoin est devenu consommateur de ressources de manière prohibitive pour être miné en dehors de fermes dédiées ». Et si Monero « ne peut plus être miné efficacement sur des PC, un botnet distribué peut s’avérer lucratif pour ses opérateurs ».

Smominru se distingue également par l’utilisation de WMI pour communiquer avec ses serveurs de commande et de contrôle. Il serait principalement présent en Russie, en Inde, à Taïwan et en Ukraine.

Outre Adylkuzz, WannaMine est également connu pour avoir mis à profit EnternalBlue afin de se propager et miner du Monero. Les équipes de Panda Security s’étaient penchées dessus à l’automne dernier, tout en soulignant ignorer son vecteur d’infection initiale.

En décembre dernier, il n’y avait guère que Malwarebytes pour avoir l’audace de prédire que le cryptojacking constituerait une « priorité absolue » des cyber-délinquants cette année. Mais les premières semaines de 2018 semblent s’inscrire dans cette tendance.

Et les acteurs de la cybersécurité prennent le sujet de plus en plus au sérieux. Les équipes de la division Talos de Cisco se sont ainsi récemment penchées sur le sujet, de même que celles de CrowdStrike. Pour ces dernières, si le cryptojacking peut s’avérer moins dévastateur que les ransomwares, il peut tout de même avoir des effets négatifs significatifs.

Dans un billet de blog sur WannaMine, les chercheurs de CrowdStrike ont ainsi décrit la manière dont les opérateurs de ces maliciels accaparent des cycles de CPU et dégradent les performances des systèmes compromis : « Ces outils ont provoqué des plantages de systèmes et d’applications en raison de leur utilisation intensive des CPU ». Et de citer un cas où l’un des clients de l’éditeur a indiqué que près de 100 % de son environnement était « devenu inutilisable en raison de la surconsommation des ressources processeur ».

Avec nos confrères de SearchSecurity.com (groupe TechTarget).