Comme les ransomwares, les cryptomineurs peuvent cacher des menaces plus graves

Felix Aimé, analyste chez Kaspersky, le soulignait tout récemment : « des incidents minimes ou des malwares ‘tout venant’ peuvent ouvrir la porte à des attaques bien plus complexes ». Pire encore, « parfois, l’attaque par ransomware se produit des mois après la primo-infection. Ceci pousse à reconsidérer ‘la simple infection’ par du malware tout venant ». Mais cela ne vaut pas que pour les rançongiciels.

A l’été 2013, Avivah Litan, analyste chez Gartner, relevait ainsi que les cyber-délinquants utilisaient de plus en plus les attaques en déni de service distribué (DDoS) comme méthode de diversion. Deux ans plus tard, Kaspersky insistait sur l’ampleur du phénomène. Mais cela ne s’arrête pas là et il apparaît crucial de considérer qu’un incident impliquant un maliciel d’une exceptionnelle banalité puisse cacher quelque chose de bien plus sérieux.

Les chercheurs de Trend Micro alertent aujourd’hui sur un maliciel de génération de crypto-monnaie, du Monero en l’occurrence, qui cache un comportement de ver pour assurer sa propagation - en profitant de la célèbre vulnérabilité SMB MS17-010 -, mais aussi l’installation d’un outil de collecte d’identifiants, le célèbre Mimikatz, ainsi, c’est là qu’ils relèvent l’originalité, l’outil Radmin pour obtenir les privilèges les plus élevés sur les systèmes compromis.

Dans un billet de blog, ils soulignent l’enjeu : « cette combinaison de Radmin et Mimikatz devient préoccupante pour l’exfiltration de données à partir d’actifs d’entreprise, parce que les fonctions Windows [invoquées] d’apparence valide et nommées aléatoirement peuvent passer inaperçues ». D’ailleurs, la charge nominale n’est pas le logiciel de minage de crypto-deniers : ce dernier « est chargé à distance et déposé avec une commande envoyée via Radmin à la machine visée ».

Les maliciels à architecture modulaire sont loin de constituer une nouveauté. Mais l’appétit des attaquants pour ceux-ci apparaît bien vivace. De quoi souligner l’importance de la prudence dans la gestion des incidents de sécurité informatique… et la méfiance avec laquelle il convient de traiter les sauvegardes, comme le relevait récemment dans nos colonnes Mohamed Bakkali, ancien de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) et co-fondateur de la jeune pousse Zyroc.