Cryptojacking : Tesla, une victime comme tant d'autres

Le détournement de ressources de calcul au profit de la génération de crypto-denier, le cryptojacking, s’impose comme un vaste fléau. Ce début d’année semble clairement donner raison à Malwarebytes qui estimait, en décembre dernier, que cette pratique constituerait une « priorité absolue » des cyber-délinquants en 2018.

Redlock vient ainsi d’indiquer que des pirates avaient détourné à leur profit des instances AWS et Azure utilisées par Aviva, Gemalto ou encore Tesla. La faute des consoles d’administration Kubernetes « accessibles sur Internet sans la moindre protection par mot de passe ». Mais ces incidents sont survenus l’an passé.

Aujourd’hui, Check Point place Coinhive en tête des menaces ayant affecté les entreprises au mois de janvier. Selon l’équipementier, celui-ci a affecté 23 % des organisations du monde entier à des degrés divers. Il y a un mois, Check Point plaçait déjà les maliciels conçus pour miner des cryptodeniers à bon compte en tête des menaces de décembre 2017, avec deux variantes, Coinhive et Cryptoloot. Selon l’équipementier, elles avaient alors affecté 55 % des organisations du monde entier à des degrés divers.

Tout récemment, les chercheurs de Check Point ont même fait la découverte d’un porte-monnaie Monero valorisé à environ 3 M$ : il profitait depuis 18 mois des ressources de calcul de systèmes informatiques variés. Mais son opérateur aurait trouvé mieux : les serveurs Jenkins, « souvent hébergés sur de puissants systèmes, ce qui en fait une cible de choix pour les attaques » de cryptojacking.  

En fait, selon Imperva, c’est bien simple : le crypto-détournement motive « près de 90 % de toutes les attaques en exécution de code à distance » aujourd’hui. En septembre dernier, la génération de crypto-deniers ne comptait que pour plus de la moitié des attaques de ce type. Le reste visait surtout le lancement d’attaques en déni de service distribué (DDoS). Aujourd’hui, ce genre d’opération ne représente plus que 12 % des exécutions de code à distance sur des systèmes compromis.

Dans la plupart des cas observés par Imperva, c’est Monero qui est produit. Et ce n’est pas une surprise. En décembre dernier, Nir Kshetri, professeur de management à l’université de Caroline du Nord à Greensboro, indiquait s’attendre à ce que les cyber-délinquants se tournent de plus en plus vers des alternatives à Bitcoin, comme Monero, Dash et Zcash. Pour une bonne raison : « les transactions en Bitcoin sont difficiles à suivre, mais dans la plupart des cas, ce n’est pas impossible ». Et pour lui, c’est Monero qui offre la discrétion la plus poussée à ce stade.

Ronan Mouchoux, chercheur du Great de Kaspersky, estimait de son côté que la migration était déjà engagée : « nous avons constaté sur l’année 2017, une migration notable des demandes de rançon de bitcoin vers des crypto-monnaies à blockchain masquée, principalement Monero et Zcash. La raison principale ? Limiter le besoin de recourir à des « processus additionnels de mixage » visant à brouiller les pistes avec un Bitcoin à la traçabilité trop importante.