Le détournement de ressources de calcul à fin de minage de cryptodeniers attirait l’attention en 2018, avant d’être occulté par les ransomwares. Mais la menace reste réelle et sérieuse, notamment du fait des techniques employées.
En juin 2018, Check Point plaçait les maliciels de cryptojackingen tête de sontop 10 des menaces du mois de mai. À l’époque, Bitdefender, Fortinet ou encore Trend Micro soulignaient également l’ampleur du phénomène. Trois mois plus tard, Europol et la Cyber Threat Alliance sonnaient le tocsin même si, pour le premier, le ransomware constituait la menace prédominante.
Car Europol anticipait que ce détournement de ressources de calcul afin de générer des cryptodeniers puisse « devenir une source de revenus régulière, à faible risque, pour les cyberdélinquants ». Pour appuyer son message, Europol alertait alors : le cryptojacking « peut avoir un impact minimal sur ses victimes », avec à la clé peu de plaintes déposées, ou des dossiers traités comme secondaires. Pour ne rien gâcher, « les dommages aux victimes (avec quelques exceptions) sont difficiles à quantifier ».
Un retour presque oublié
Mais justement, les ransomwares, avec la multiplication spectaculaire des attaques l’an dernier et l’ampleur des dégâts qu’elles provoquent souvent, ont complètement renvoyé dans l’ombre le cryptojacking. Ou presque.
Début mai 2020, Red Canary s’est penché sur Blue Monckingbird, une menace de type cryptojacking affectant Windows et impliquant le minage de Monero. Les serveurs Microsoft IIS étaient visés, via une vulnérabilité dans Telerik UI. La charge utile finale n’était autre qu’une version de l’outil open source XMRIG. Mais ce n’est pas tout.
À la même période, des attaquants s’en sont pris à plusieurs supercalculateurs académiques européens, membres de la European Grid Infrastructure (EGI). Dans une note d’information, le centre de réponse aux incidents de cybersécurité de l’EGI expliquait alors qu’un « groupe malicieux a visé les centres de calcul académiques pour détourner leurs ressources CPU à des fins de minage. L’attaquant saute d’une victime à l’autre en utilisant des identifiants SSH compromis ». Là encore, la production de « crypto-gros-sous » Monero était visée.
Des hôpitaux touchés
Au printemps dernier, Visserie Service, à Parcé-sur-Sarthe, a été victime de cryptojacking, comme l’ont rapporté nos confrères de Ouest France. Début décembre, Sud Ouesta fait état d’une attaque comparable à Bayonne. Dans le courant du week-end du 12 décembre, c’était au tour de l’hôpital de Narbonne de voir ainsi des systèmes détournés pour miner des « crypto-pépettes ». Car oui, si cela peut a priori surprendre dans un climat actuel dominé par les rançongiciels, c’est bien de cryptojacking qu’a été victime l’hôpital. Trois autres, au moins, selon nos sources, l’auraient été également.
Les techniques, tactiques et procédures (TTPs) utilisées pour l’installation d’un cryptomineur sont très proches, sinon identiques, à celles utilisées pour le déploiement d’un ransomware.
Mais cette menace est-elle moins anodine ? Assurément pas. En juillet 2018, les équipes Kaspersky s’étaient penchées sur PowerGhost, un maliciel mineur de cryptodevises qui utilisait EternalBlue pour se propager en local, et PowerShell pour assurer sa furtivité. En fait, dans de nombreux cas observés sur le temps, selon nos sources, c’est bien simple : les techniques, tactiques et procédures (TTPs) utilisées pour l’installation d’un cryptomineur sont très proches, sinon identiques, à celles utilisées pour le déploiement d’un ransomware. Seule différence : il n’y a pas, en fin de chaîne, de chiffrement malveillant de systèmes. Mais la situation n’en est pas moins grave : la gravité de l’attaque est, in fine, comparable, avec des contrôleurs de domaine compromis, et une perte totale de confiance dans l’infrastructure.
Le vecteur d’entrée peut être aussi comparable à celui d’une attaque de ransomware, à commencer par un système d’accès à distance affecté par une vulnérabilité. Et pour lequel les correctifs n’ont pas été appliqués avant la compromission initiale, tout comme les mots de passe n’ont pas été réinitialisés au moins à titre préventif.
Ou une finalité ou un intermède ?
De quoi s’interroger en fait sur l’identité et la motivation des attaquants. La question est ouverte : se sont-ils lancés dans le cryptojacking afin de rentabiliser leur intrusion initiale avant d’avoir le temps de déclencher une charge de rançongiciel et de gérer une négociation ? Ou bien pensaient-ils ne pas pouvoir soutirer grand-chose à leur victime sous forme de rançon et ont préféré tenter leur chance en minant du cryptocash ?
Ces questions restent, à ce stade, sans réponse. Toutefois, force est de constater que le cryptojacking a déjà été pratiqué par des groupes impliqués dans la chaîne d’attaque du ransomware. Le groupe TA505, dont les attaques à coup de ransomware Cl0p sont désormais bien connues, s’est par exemple déjà prêté au cryptojacking. G-Data indiquait, en septembre dernier, l’avoir observé en janvier 2020. Et de résumer : « avoir une porte dérobée, c’est bien. Mais faire directement produire de l’argent au système compromis, c’est mieux ».
