Cryptomineurs : la menace à ne pas oublier

Fin mars, le système d’information d’Aix-les-Bains était largement paralysé par une cyberattaque impliquant le détournement de ses ressources afin de miner des « crypto-pépettes » (ou cryptomonnaies). C’était loin d’une première.

Au printemps 2020, Visserie Service, à Parcé-sur-Sarthe, avait déjà été victime de cryptojacking, comme l’ont rapporté nos confrères de Ouest France. Au début du mois de décembre suivant, la ville de Bayonne faisait les frais d’une attaque comparable. Une heure après les premiers signes, les ressources processeur de l’ensemble des serveurs et postes de travail du système d’information étaient saturés. Les équipes de Palo Alto Networks seront appelées à la rescousse quelques heures plus tard, après que toute l’infrastructure ait été arrêtée. Le responsable informatique et sécurité de la ville en a témoigné mi-avril 2021, lors d’un atelier du Coter Club.

Dans le courant du week-end du 12 décembre suivant, c’était au tour de l’hôpital de Narbonne de voir à son tour des systèmes détournés pour miner des crypto-pépettes. Car oui, si cela peut a priori surprendre dans un climat actuel dominé par les rançongiciels, c’est bien de cryptojacking qu’a été victime l’hôpital. Trois autres, au moins, selon nos sources, l’auraient été également.

Le centre hospitalier d'Albertville-Moûtiers, le CHAM-Savoie, a également été compromis par un cryptomineur. Sa présence a été découverte le 8 décembre 2020. Moins de deux semaines plus tard, l'établissement était victime d'un « cryptovirus ». 

En juin 2018, Check Point plaçait les maliciels de cryptojacking en tête de son top 10 des menaces du mois de mai. À l’époque, Bitdefender, Fortinet ou encore Trend Micro soulignaient également l’ampleur du phénomène. Trois mois plus tard, Europol et la Cyber Threat Alliance sonnaient le tocsin même si, pour le premier, le ransomware constituait la menace prédominante.

Car Europol anticipait que ce détournement de ressources de calcul afin de générer des cryptodeniers puisse « devenir une source de revenus régulière, à faible risque, pour les cyberdélinquants ». Pour appuyer son message, Europol alertait alors : le cryptojacking « peut avoir un impact minimal sur ses victimes », avec à la clé peu de plaintes déposées, ou des dossiers traités comme secondaires. Pour ne rien gâcher, « les dommages aux victimes (avec quelques exceptions) sont difficiles à quantifier ».

Las, les cryptomineurs ne sont pas moins préoccupants que les rançongiciels. Dans de nombreux cas, les techniques, tactiques et procédures (TTPs) utilisées pour l’installation d’un cryptomineur sont très proches, sinon identiques, à celles utilisées pour le déploiement d’un ransomware. Seule différence : il n’y a pas, en fin de chaîne, de chiffrement malveillant de systèmes. Mais la situation n’en est pas moins grave : la gravité de l’attaque est, in fine, comparable, avec des contrôleurs de domaine compromis, et une perte totale de confiance dans l’infrastructure.

Le vecteur d’entrée peut être aussi comparable à celui d’une attaque de ransomware, à commencer par un système exposé sur Internet affecté par une vulnérabilité. Et pour lequel les correctifs n’ont pas été appliqués avant la compromission initiale, tout comme les mots de passe n’ont pas été réinitialisés au moins à titre préventif. C'est ce qui s'est passé pour le centre hospitalier d'Albertville-Moutiers.

Sophos a, de son côté, relevé l’exploitation de la relativement récente vulnérabilité Log4Shell contre des instances de VMware Horizon pour le déploiement de mineurs de cryptomonnaies. L’éditeur a notamment pointé ici l’utilisation d’une URL, qui a également été utilisée pour des attaques comparables avec l’exploitation de la vulnérabilité CVE-2021-26084 concernant les systèmes Atlassian Confluence. Las, ces deux vulnérabilités ont également été exploitées pour conduire des attaques menant au déploiement de ransomwares, notamment par des affidés de la franchise Conti, en particulier pour Log4Shell, ou par Ragnar Locker pour la CVE-2021-26084.