Archives par mot-clé : cryptomonnaie

Au cours des cinq dernières années, 100 milliards de dollars de cryptomonnaies illicites ont transité

Depuis 2019, les échanges de cryptomonnaies ont reçu au moins 100 milliards de dollars provenant d’adresses liées à des activités illégales.

La conclusion à laquelle sont parvenus les chercheurs de la société Chainalysis, a de quoi laisser pantois. Ils ont découvert que les sites dédiés aux échanges de cryptomonnaies ont reçu au moins 100 milliards de dollars provenant d’adresses liées à des activités illégales. Un tiers de ce montant s’est retrouvé sur des plateformes faisant l’objet de sanctions internationales, y compris Garantex.

Garantex est une plateforme d’échange de cryptomonnaies fondée en 2019 et initialement enregistrée en Estonie. Elle permet le trading de diverses cryptomonnaies, y compris Bitcoin, Ether, et des stablecoins comme USDT et USDC. La plateforme offre aux utilisateurs la possibilité d’acheter et de vendre des actifs numériques en utilisant des devises fiduciaires telles que les roubles, les dollars et les euros, avec des services comme des plateformes P2P et des options de dépôt/retrait en espèces sans commission​.

Cependant, Garantex a été impliqué dans des controverses importantes et des problèmes juridiques. En avril 2022, l’Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis a sanctionné Garantex pour ses liens avec des activités illicites, notamment la facilitation d’opérations de blanchiment d’argent pour le blackmarket Hydra (aujourd’hui fermé), le plus grand marché darknet mondial de biens et services illégaux. Hydra était connu pour ses opérations étendues dans la cybercriminalité, le trafic de drogue et d’autres activités illicites, utilisant souvent des cryptomonnaies pour les transactions​.

Les sanctions contre Garantex faisaient partie d’un effort plus large visant à perturber les réseaux de cybercriminalité et de financement illicite opérant depuis la Russie. La plateforme d’échange a été accusée de permettre des transactions pour des groupes de ransomware et d’autres entités criminelles, avec plus de 100 millions de dollars de transactions liées à des activités illicites. Cela incluait des fonds provenant d’opérations de ransomware et de marchés darknet comme Hydra​.

Selon les chercheurs, ce chiffre témoigne d’un manque de coopération internationale dans la lutte contre le blanchiment d’argent. Chainalysis a également souligné que ces données pourraient ne représenter que la partie émergée de l’iceberg, car elles incluent uniquement les sommes totales transférées de sources illégales vers des services d’échange de cryptomonnaies. Le volume des transactions entre intermédiaires ne peut pas être calculé. L’entreprise affirme qu’une part significative de l’argent sale est désormais stockée et transférée non pas en cryptomonnaies traditionnelles comme le Bitcoin ou l’Ethereum, mais en stablecoins. Ces derniers représentent la majorité du volume total des transactions illégales. Les stablecoins sont devenus le moyen privilégié pour ces transactions illicites, malgré la capacité des émetteurs à geler les fonds, comme l’a fait Tether avec environ 1,5 milliard de dollars d’USDT.

L’année 2022 a enregistré le montant le plus élevé, avec 30 milliards de dollars de cryptomonnaies illicites.

L’ONU désigne le stablecoin USDT comme principal outil de blanchiment d’argent en Asie

L’ONU pointe du doigt un « système bancaire parallèle » pour les criminels avec l’utilisation du stablecoin USDT Tether.

Les stablecoins émis par Tether, une société de cryptomonnaie, sont devenus un outil de choix pour les blanchisseurs d’argent et les fraudeurs opérant en Asie du Sud-Est, selon un rapport de l’Office des Nations Unies contre la drogue et le crime, cité par le Financial Times. Parmi ces stablecoins, le dollar USDT de Tether se détache comme le favori des criminels, devenant ainsi le troisième actif crypto en capitalisation, avec une valeur d’environ 95 milliards de dollars, derrière Bitcoin et Ethereum.

Le rapport met en lumière l’utilisation active du jeton Tether dans diverses formes de fraude, y compris les schémas de « pig butchering », où les criminels gagnent la confiance de leurs victimes sous prétexte d’une relation romantique pour les inciter à effectuer des transferts de fonds importants.

Ces dernières années, les forces de l’ordre et les agences de renseignement financier ont signalé une augmentation rapide de l’utilisation de schémas de blanchiment d’argent complexes et à grande vitesse, en particulier par des groupes spécialisés dans les transferts clandestins en jetons Tether, révèle le rapport.

Crypto-actifs

Les crypto-actifs ont également stimulé une pratique populaire parmi les groupes criminels organisés d’Asie du Sud-Est, qui utilisent des casinos en ligne illégaux pour blanchir des fonds illicites. Le rapport indique que les plateformes de jeux en ligne, en particulier celles opérant illégalement, sont devenues l’une des méthodes les plus populaires de blanchiment d’argent avec des cryptomonnaies, en mettant particulièrement l’accent sur l’utilisation de Tether.

Jeremy Douglas de l’Office des Nations Unies contre la drogue et le crime a souligné que les groupes criminels organisés ont réussi à créer un système bancaire parallèle en exploitant de nouvelles technologies. La prolifération des casinos en ligne non réglementés, combinée à l’utilisation de cryptomonnaies comme Tether, a renforcé l’écosystème criminel en Asie du Sud-Est.

Le rapport de l’ONU mentionne que ces dernières années, les autorités ont réussi à démanteler plusieurs réseaux de blanchiment d’argent impliqués dans le transfert de fonds illégaux en jetons Tether. Par exemple, en août dernier, les autorités de Singapour ont saisi 737 millions de dollars en espèces et en cryptomonnaies dans le cadre d’une opération de démantèlement. En novembre dernier, Tether a également gelé ses jetons d’une valeur de 225 millions de dollars, suite à une enquête conjointe avec les autorités américaines et la bourse de cryptomonnaies OKX. Ces actifs étaient liés à un syndicat impliqué dans la fraude et la traite des êtres humains en Asie du Sud-Est.

Tether, qu’est-ce que c’est ?

Les stablecoins de Tether, souvent simplement appelés « Tether » ou « USDT » (pour le jeton lié au dollar américain), sont une forme de cryptomonnaie conçue pour maintenir une valeur stable en étant adossée à des réserves d’actifs réels, tels que des devises fiduciaires (comme le dollar américain), de l’or ou d’autres actifs. Ces stablecoins sont émis par une société appelée Tether Limited.

La principale caractéristique des stablecoins, comme le Tether, est de fournir une stabilité de valeur par rapport aux cryptomonnaies plus volatiles telles que le Bitcoin ou l’Ethereum. Par exemple, un jeton Tether lié au dollar américain devrait toujours valoir environ 1 dollar américain.

Le fonctionnement des stablecoins Tether repose sur le principe de la garantie. La société Tether Limited prétend détenir une réserve équivalente de devises fiduciaires (par exemple, des dollars américains) dans des comptes bancaires pour chaque unité de stablecoin Tether en circulation. Cette réserve est censée garantir que chaque jeton Tether peut être échangé contre la devise fiduciaire correspondante à tout moment, ce qui maintient sa stabilité de valeur.

Les stablecoins Tether sont utilisés dans le monde entier pour diverses transactions et activités liées à la cryptomonnaie en raison de leur stabilité. Ils sont notamment utilisés comme une forme de monnaie stable dans le monde des cryptomonnaies, permettant aux investisseurs et aux traders de passer rapidement d’une position volatile à une position stable en utilisant des jetons Tether comme une sorte de refuge.

Cependant, il est important de noter que les stablecoins Tether ont fait l’objet de controverses et de préoccupations concernant leur transparence et la véritable ampleur des réserves sous-jacentes. Certains ont remis en question la capacité de Tether Limited à maintenir ces réserves à 100 % et à fournir une preuve adéquate de leurs actifs sous-jacents. Ces inquiétudes ont suscité des enquêtes réglementaires et des débats au sein de la communauté des cryptomonnaies.

Forge, filiale de Société Générale, obtient la licence de DASP

La filiale de la Société Générale, Forge, a obtenu une licence de fournisseur de services d’actifs numériques (DASP) de la part de l’Autorité des marchés financiers (AMF). L’obtention de cette licence place Forge en position avantageuse sur le marché des crypto-monnaies, offrant ainsi une nouvelle dimension à l’activité du conglomérat.

La licence permet à Forge de mener plusieurs activités essentielles sur le marché des crypto-monnaies, y compris la négociation, la détention, l’échange, la vente et l’achat de crypto-monnaies comme monnaie légale. L’approbation de cette nouvelle activité par l’AMF est une nouvelle majeure, non seulement pour Forge mais aussi pour ses clients institutionnels.

En effet, l’annonce de cette approbation arrive à un moment particulièrement opportun. Forge est en effet un acteur majeur dans le lancement d’un stablecoin Ethereum régulé et basé sur l’euro qui a vu le jour en avril 2023. Cette approbation par l’AMF est un jalon important dans le parcours de cette initiative.

Depuis l’introduction de nouvelles réglementations sur l’octroi de licences et l’enregistrement des entreprises de crypto-monnaie par les autorités françaises en mars 2023, 87 organisations se sont enregistrées auprès de l’AMF. Parmi ces organisations figurent des filiales de poids lourds de l’industrie tels que Binance, Bitstamp, Luno et Bitpanda. Forge est le premier à obtenir une licence de DASP.

Ces nouvelles règles, plus souples que celles précédemment proposées, établissent néanmoins des normes réglementaires plus élevées pour les fournisseurs de services cryptographiques. Par exemple, les entreprises sont tenues de fournir des informations claires sur les risques et de mettre en place une politique sur les conflits d’intérêts. Les entreprises déjà agréées par l’AMF pourront continuer à opérer jusqu’à la fin de la période de transition prévue jusqu’en 2026.

Il est important de rappeler qu’en décembre 2022, la Commission européenne a annoncé son intention d’obliger les fournisseurs d’actifs virtuels à transférer les données des clients aux autorités fiscales locales. Par ailleurs, en avril, l’AMF a commencé à accélérer l’examen des demandes des entreprises de cryptographie pour se conformer aux nouvelles règles paneuropéennes prévues par la loi MiCA.

Enfin, il convient de noter que d’autres acteurs importants du secteur ont également déposé une demande de statut DASP auprès de l’AMF. C’est le cas de Circle, co-émetteur de l’USDC, en mars, et de la bourse OKX en mai. La route vers une régulation accrue et une adoption plus large des crypto-monnaies est donc clairement en marche.

Les arnaques aux cryptomonnaies s’appuient sur la popularité d’Elon Musk et de YouTube

Selon une nouvelle étude publiée, les escrocs exploitent de plus en plus YouTube pour cibler les utilisateurs peu méfiants qui consultent les vidéos consacrées aux cryptomonnaies diffusées sur la plateforme. 

D’après cette étude, les escrocs sont en passe de dépouiller les utilisateurs de YouTube de près d’un million de dollars en achetant des espaces publicitaires sur les vidéos de cryptomonnaies diffusées sur YouTube, afin de promouvoir une fausse monnaie SpaceX dont ils prétendent, à tort, qu’elle a été créée par Elon Musk.

Cette campagne fait suite à une arnaque antérieure dans laquelle des cybercriminels avaient compromis des comptes Twitter et YouTube pour promouvoir une série de fraudes aux cryptomonnaies en prévision du passage d’Elon Musk, fondateur de Tesla et de SpaceX, à l’émission « Saturday Night Live ». Les escrocs ont ainsi dérobé plus de 10 millions de dollars en Bitcoins, en Ethereums et en Dogecoins. 

Satnam Narang, Principal Research Engineer, pour la société Tenable, estime que ces arnaques témoignent de la manière dont les media sociaux, et YouTube en particulier, sont de plus en plus utilisés par les escrocs pour perpétuer la fraude liée aux cryptomonnaies.

 «  Ces stratagèmes d’enrichissement rapide dans le monde des cryptomonnaies existent depuis 2017 et ne sont pas près de disparaître. La seule chose qui a changé, ce sont les tactiques employées par les escrocs pour amasser rapidement de l’argent. Les utilisateurs devraient donc se méfier des campagnes qui promettent des gains démesurés. Si c’est trop beau pour être vrai, il y a forcément anguille sous roche. « 

Les escrocs ne reculent devant aucune occasion pour créer de nouvelles monnaies et en faire la promotion sur les media sociaux ou, dans le cas présent, au travers de publicités sur YouTube. L’essor des protocoles de finance décentralisée (DeFi) et des échanges comme Uniswap a offert aux escrocs un nouveau moyen de dérober de l’argent à des utilisateurs peu méfiants, sans possibilité de le récupérer. La plupart des fraudes que j’ai pu observer ont tendance à se produire sur la blockchain d’Ethereum et sur la Smart Chain de Binance, qui est basée sur la blockchain d’Ethereum.

 Si les utilisateurs tombent dans le piège d’une arnaque aux cryptomonnaies, les chances qu’ils puissent récupérer leurs fonds sont très faibles, car il n’existe aucune autorité centralisée, telle qu’une banque, en mesure d’annuler les transactions. En raison du caractère décentralisé des cryptomonnaies, qui les distingue de la finance traditionnelle, il est d’autant plus important que les utilisateurs prennent les précautions nécessaires pour éviter d’être victimes d’arnaques aux cryptomonnaies.

Tentative de piratage CoinHouse

Des pirates informatiques ont tenté de piéger les clients du site spécialisé dans les cryptomonnaie CoinHouse. Mais comment les pirates ont-ils eu les mails utilisés dans leur tentative de fraude ?

Jeudi 12 septembre, 20 heures. La société CoinHouse alerte ses clients d’une tentative de fraude. Une cyber attaque aux couleurs de ce spécialise des cryptomonnaie prenant la forme d’un phishing. « Vous avez pu recevoir un mail ayant pour objet  »Action requise: vérifiez vos données », avec un message en anglais vous invitant à cliquer sur un bouton  »Verify ». » explique CoinHouse dans son courriel d’alerte. « Ce message a été envoyé par des pirates informatiques pour vous rediriger vers un faux site : app.colnhouse.com et ainsi récupérer vos identifiants. »

L’attaque a débuté quelques heures auparavant. Un courriel signe coinhouse.com comme le montre la capture écran de Data Security Breach. « In order to continue using our services, please verify our submitted data and documents. It will not take more than 3 mintues to complete the verifying steps, once you finish, please proceed by pressing save button. » annonçait l’arnaque.

La page pirate recupérait les identifiants de connexion.

Infiltration, exfiltration

Fait intéressant : si les hameçonnages sont très fréquents, l’histoire ne dit pas comment les pirates ont eu accès aux adresses électroniques. Plusieurs lecteurs de Data Security Breach, dont votre serviteur, exploitent une adresse dédiée à ce service ! A noter que ce courriel usurpateur a été envoyé via l’outil bmail exploité en interne par CoinHouse.

Les pirates avaient parfaitement organisés leur action. En plus du courriel et de sa méthode de diffusion, ils avaient enregistré le domaine https://app.colnhouse.com. Un typosquatting. Le i de CoinHouse remplacé par un L minuscule : app.colnhouse.com

Centrale nucléaire : fabrique pirate de cryptomonnaie

Les services secrets ukrainiens viennent de mettre la main sur du matériel pirate dans la seconde centrale nucléaire du pays. Quelqu’un minait de la cryptomonnaie.

Ce n’est pas un cas unique, la Russie et de nombreuses universités ont déjà eu à faire à ce genre d’infiltration. La seconde centrale nucléaire d’Ukraine était exploitée par un pirate pas comme les autres. Les services secrets du pays ont découvert du matériel permettant de miner des cryptomonnaies. L’usine, située à Yuzhnoukrainsk, hébergeait six cartes vidéo Radeon RX 470.

Du matos caché dans une aile administrative. Elle n’était pas en lien direct avec la centrale. Le fait d’utiliser les ressources de la société est un délit.

Le même jour, des perquisitions effectuées dans les locaux utilisés par l’unité militaire 3044 (Garde nationale de l’Ukraine – Éd.), Située sur le territoire de la centrale nucléaire du sud de l’Ukraine. À la suite de la recherche, 16 cartes vidéo, une unité centrale avec le numéro d’inventaire de l’unité militaire, sept disques durs, deux disques SSD, un lecteur flash USB et un routeur saisis .

De fuites…

2017, les activistes du mouvement éclair mobilisateur #fuckresponsibledisclosure initié par l’Ukernian Cyber ​​Alliance constatent des problèmes de sécurité chez Energoatom.

Décembre 2017, l’hacktiviste Dmitry Orlov signale une fuite de données à la centrale nucléaire de Zaporizhzhya. Accès libre à la documentation interne.

Octobre 2018, Alexander Galouchtchenko, expert en sécurité, découvre des documents liés aux travaux de la centrale nucléaire.

19 mars 2019, la police ouvre une procédure pénale pour un cas d’ingérence dans le fonctionnement du réseau de la centrale. Trois employés du département de la sécurité nucléaire impliqués.

Et demain ?

En 2015, Data Security Breach vous expliquait comment des chercheurs s’inquiétaient des installations. De plus et plus dépendantes des systèmes numériques. la sensibilisation de haut niveau des menaces liées à la cybersécurité stagne. « Les récentes attaques de grande envergure ont soulevé de nouvelles inquiétudes concernant les failles de sécurité des cyber d’installations nucléaires », commentait le rapport.

4 entreprises sur 10 touchées par de l’extraction pirate de cryptomonnaie

37 % des entreprises ont été touchées par des attaques d’extraction de cryptomonnaie au cours de l’année écoulée, selon le Rapport Sécurité 2019 de Check Point. Le nouveau rapport précise que 20 % des entreprises dans le monde continuent d’être victimes d’attaques d’extraction de cryptomonnaie chaque semaine. 33 % des entreprises ont été touchées par des logiciels malveillants mobiles et 4 % par des logiciels rançonneurs au cours des 12 derniers mois

 

La société Check Point Software Technologies Ltd., un fournisseurs de solutions de cybersécurité, vient de publier la première partie de son Rapport Sécurité 2019. Le rapport met en évidence les principales tactiques utilisées par les cybercriminels pour attaquer des entreprises dans le monde entier et dans tous les secteurs. Il fournit aux professionnels de la cybersécurité et aux cadres dirigeants les informations nécessaires pour protéger leur entreprise des cyberattaques et menaces de cinquième génération.

La première partie du Rapport Sécurité 2019 révèle les principales tendances et techniques des logiciels malveillants observées par les chercheurs de Check Point au cours de l’année précédente.

  • Les extracteurs de cryptomonnaie ont dominé le paysage des logiciels malveillants : Les extracteurs de cryptomonnaie étaient les quatre principaux types de logiciels malveillants qui ont touché 37 % des entreprises dans le monde en 2018. Malgré la baisse de la valeur de toutes les cryptomonnaies, 20 % des entreprises continuent d’être victimes d’attaques d’extracteurs de cryptomonnaie chaque semaine. Les extracteurs de cryptomonnaie ont également récemment évolué pour exploiter des vulnérabilités et contourner les bacs à sable et les produits de sécurité afin d’améliorer leurs taux d’infection.

Les mobiles, en tête de ligne

  • Les mobiles sont une cible mouvante : 33 % des entreprises dans le monde ont été touchées par des logiciels malveillants mobiles, et les trois principaux types de logiciels malveillants ciblaient le système d’exploitation Android. En 2018, des logiciels malveillants mobiles ont été préinstallés dans des appareils, et des applications disponibles dans les boutiques d’applications étaient en réalité des logiciels malveillants déguisés.

 

  • Des botnets multifonctions lancent différents types d’attaques : Les bots sont le troisième type de logiciel malveillant le plus répandu, avec 18 % des entreprises touchées par des bots, qui sont utilisés pour lancer des attaques DDoS et propager d’autres logiciels malveillants. Les infections de bots ont joué un rôle déterminant auprès de la moitié (49 %) des entreprises touchées par des attaques DDoS en 2018.

 

  • Déclin des attaques de logiciels rançonneurs : En 2018, l’utilisation des logiciels rançonneurs a fortement chuté, touchant à peine 4 % des entreprises dans le monde.

 

« Entre la montée en puissance des extracteurs de cryptomonnaie, les fuites massives de données et les attaques DDoS, les perturbations causées aux entreprises n’ont pas manqué au cours de l’année précédente. Les pirates disposent d’un large éventail d’options pour cibler des entreprises de tous les secteurs et en extraire des revenus. La première partie du Rapport Sécurité 2019 met en évidence les approches de plus en plus furtives qu’ils utilisent actuellement, » déclare Peter Alexander, directeur marketing chez Check Point Software Technologies. « Ces attaques de 5e génération, multivecteurs, rapides et à grande échelle, sont de plus en plus fréquentes. Les entreprises doivent adopter une stratégie de cybersécurité multicouche pour empêcher ces attaques de s’introduire dans leurs réseaux et dérober leurs données. Le Rapport Sécurité 2019 fournit des connaissances, des renseignements et des recommandations pour stopper ces attaques. »

Le minage de crypto-monnaies pirate dépasse les ransomwares

L’usage des ransomware a drastiquement chuté au profit du minage de crypto-monnaies. Pendant les trois premiers trimestres de l’année 2018, 5 millions d’utilisateurs ont été attaqués en ligne, par des mineurs de cryptomonnaie, contre 2,7 millions en 2017.  Les infections sont dues, en grande majorité, au téléchargement et à l’installation de logiciels sans licence, ce qui implique un ciblage des victimes plutôt orienté vers le grand public.

Le principe même de la criminalité, qu’il s’agisse du cyber ou du physique, repose sur l’appât du gain, la possibilité de gagner beaucoup d’argent, en très peu de temps. Pendant plusieurs années, le prix des crypto monnaies a été très élevé. Aujourd’hui, les cours sont fluctuants, voire  en chute libre depuis quelques semaines. Très vite, le minage de crypto monnaies ne sera plus rentable car les gains ne couvriront plus les investissements en temps. Ce sera particulièrement vrai si les criminels continuent de cibler les machines individuelles, plutôt que les grandes entreprises disposant de fortes puissances de calcul. En revanche, si les crypto monnaies continuent leur démocratisation, il faudra surveiller les plates-formes d’échange qui pourront devenir de véritables nids d’opportunités pour les criminels dans des opérations de phishing de leur client ou de piratage direct.

 L’extorsion de fonds à grande échelle

Ronan Mouchoux du GReAT explique : «  En mars 2010, la plate-forme pionnière d’échange de cryptomonnaies, BitcoinMarket, effectuait la toute première transaction financière entre bitcoin et monnaie fiduciaire. Un bitcoin échangé alors pour 0.003 dollar US. Huit ans plus tard, l’écosystème s’est développé, avec des milliers de nouvelles blockchains et des centaines de plates-formes de trading. Sur cette durée, au moins 31 piratées pour un montant de 1,3 milliard de dollars. Les détenteurs de crypto monnaies, les développeurs de blockchains et les plates-formes d’échange sont les trois cibles des cybercriminels. Rien qu’au deuxième trimestre 2018, plus de 2 millions de dollars extorqués à des possesseurs de crypto monnaies par phishing ou arnaque. En septembre dernier, l’une des principales plates-formes japonaises d’échange, Zaif, se faisait voler l’équivalent de 60 millions de dollars. »

 

 Investisseurs individuels vs. banques : une inégalité en matière de sécurité

Les crypto monnaies se démocratisent toujours davantage et sont désormais accessibles à la plupart des investisseurs. La tendance devrait encore se renforcer grâce à l’ouverture annoncée du marché directement via les buralistes en 2019. Il faut s’attendre à d’importantes tentatives d’exploitation de failles de sécurité. Les détenteurs de crypto monnaies, les développeurs de blockchain et les plates-formes d’échanges doivent impérativement accroître leur niveau de sécurité, encore beaucoup trop faible par rapport aux banques historiques et traditionnelles. Preuve en est, le plus gros casse bancaire de l’histoire se baptise Carbanak : l’attaque avait entrainé le vol de 1 milliard de dollars. Durant le premier semestre 2018 au Japon, près de 500 millions de dollars dérobés par piratage de plusieurs plateformes d’échanges de ce pays. De quoi attirer les cybercriminels, bien plus qu’avec le minage.

 Comment se protéger ?

Il est primordial pour les utilisateurs de choisir leur plate-forme en fonction de leur sécurité. Pour les plus gros détenteurs de cryptoactifs, on ne peut que recommander fortement d’investir dans un porte monnaies physique à la réputation éprouvée. Quant aux développeurs de blockchain et aux plates-formes d’échanges, ils doivent utiliser des solutions et recruter de véritables experts en cybersécurité. Tout ce qui est tendance sur un marché, l’est aussi pour la cybercriminalité. Bien entendu comme toute activité qui implique un accès en ligne, disposer d’appareils et de solutions à jour et ne pas installer de logiciels non certifiés font partie des recommandations basiques. (Rapport)

Plus fort qu’un ransomware, le cryptominage devient le summum du lucratif

À la différence d’un rançongiciel, ou ransomware, qui exige la participation des victimes, le cryptominage pirate, ou cryptojacking,est très difficile à détecter et s’exécute sur les systèmes informatiques quasiment à l’insu de leurs utilisateurs.

La cybercriminalité est une activité extrêmement lucrative : cette économie florissante génèrerait chaque année, si l’on en croit de récentes estimations, 1 500 milliards de dollars de recettes. Un montant astronomique dont les cybercriminels font leurs choux gras, d’autant plus que le retour sur investissement maximal est obtenu au prix d’un minimum d’efforts et que les risques de sanctions encourues sont quasi-nuls.

Dans ce contexte, il n’est guère surprenant que le cryptojacking, c’est-à-dire l’emploi non autorisé des ressources informatiques d’un tiers pour fabriquer (ou miner) de la cryptomonnaie, ait ravi au ransomwarela première place au classement des outils favoris des cybercriminels Le ransomware a en également souffert de la volatilité du BitCoin avec son modèle économique basé sur des attaques rapides et répétées ciblant des paiements modiques

Alliés à la recherche continue de nouvelles techniques d’attaques toujours plus rentables, ce contexte a hissé le cryptojackingen tête des enjeux de sécurité informatique en 2018, que ce soit pour les entreprises ou les particuliers. Examinons en détail les facteurs à l’origine de ce basculement.

Rentabilité accrue

Unis dans le minage… Sachant que la capitalisation boursière des cryptomonnaies avoisine les 500 milliards de dollars, le cryptojackings’avère extrêmement intéressant pour les cybercriminels : il ne nécessite pas de compétences techniques poussées et, contrairement aux rançongiciels, offre une rentabilité potentielle de 100 %. Une fois compromise, la machine infectée peut aussitôt s’atteler au minage de cryptomonnaie en mode furtif, indépendamment de sa puissance de traitement ou de sa localisation géographique : même les systèmes d’entrée de gamme servent cette cause puisque c’est l’envergure du réseau de machines compromises et, par conséquent, la puissance de calcul totale qui importent vraiment. De plus, si les assaillants réfrènent leurs ardeurs et adaptent leur programme de minage de manière à ne pas ponctionner l’intégralité des ressources processeur (jusqu’à mettre hors service votre appareil sous Android), l’attaque peut se poursuivre par des moyens détournés et passer inaperçue durant un long moment.

Surface d’attaque omniprésente

Une plate-forme de minage unique… L’omniprésence de la surface d’attaque représente un autre aspect important. Qui que vous soyez, où que vous vous trouviez, le minage est à votre portée… Peu importe que le « mineur », ce composant malveillant, soit injecté dans un appareil mobile, un ordinateur personnel, un serveur, une instance dans le cloud, voire un objet connecté (appareil photo, réfrigérateur ou ventilateur). Quel que soit le système d’exploitation, les assaillants peuvent tirer parti de ses cycles processeur à des fins illégitimes. Même des objets connectés dotés d’une puissance de traitement limitée peuvent faire l’affaire : le botnet Mirai nous a appris ce dont sont capables des réseaux IoT œuvrant de concertpar milliers, simultanément. Et ce n’est pas une coïncidence si une variante a été testéepour le minage de cryptomonnaie ; ce même botnet a d’ailleurs donné naissance à Satori, un fork infectant les plates-formes de minage pour mieux dérober les identifiants à leurs propriétaires. De fait, le piratage de multiples objets connectés s’avère lucratif : d’après de récentes estimationsl’infection de 15 000 accessoires connectés à Internet permet de fabriquer l’équivalent de 1 000 dollars en cryptomonnaie en quatre jours seulement. Pas mal du tout, sachant que d’ici à 2020, il faudra composer avec plus de 20 milliardsd’objets connectés.

Mécanismes d’infections multiples

Tous les chemins mènent à la mine… La rentabilité élevée et l’omniprésence de la surface d’attaque ne sont pas les seuls facilitateurs du cryptojacking. Étant donné que des « mineurs » malveillants peuvent être injectés dans la quasi-totalité des appareils, de multiples vecteurs d’infections peuvent être utilisés : les attaques par force brute, les vulnérabilités non corrigées ou les sites web compromis (cryptominage furtif) font partie des techniques employées jusqu’à présent. Jetez un œil à lachronologiedes cyberattaques relevées mensuellement, et vous serez surpris par la créativité dont font preuve les assaillants toujours soucieux de trouver de nouveaux moyens de perpétrer des attaques de type cryptojacking.

La compromission des serveurs s’exerce de diverses manières pour l’injection de « mineurs » : depuis les attaques « classiques » par force brute utilisant des authentifiants par défaut (exemple d’une campagne récente ciblant plusieurs milliers de sites Magento) jusqu’à l’exploitation de vulnérabilités non corrigées sur Oracle WebLogic (CVE 2017-10271), Apache Struts (CVE-2017-5638), DotNetNuke (CVE-2017-9822), OrientDB (CVE-2017-11467), Jenkins CI (CVE-2017-1000353), les serveurs JBoss (CVE-2017-12149) et Apache Solr (CVE-2017-12629), entre autres exemples.

Les vulnérabilités non corrigées servent également à la compromission de clients, créant de nouvelles machines esclaves pour les botnets cryptomineurs. Le botnet Smomirnu et le maliciel Wannamine sont deux exemples de menaces exploitant la triste célèbre vulnérabilité EternalBlue (CVE-2017-144) pour se propager. Même des logiciels malveillants existants peuvent être réécritspour miner de la cryptomonnaie, ou pour ajouter cette « fonctionnalité » à d’autres.

En réalité, les postes clients sont encore plus exposés puisqu’ils peuvent miner des cryptodevises rien qu’en consultant une page web hébergeant un mineur JavaScript ; c’est le cas de Coinhive, qui mine une cryptomonnaie baptisée Monero (XMR). La principale raison est que, hormis la préservation de l’anonymat assurée par cette blockchain, l’algorithme servant au calcul des hashcodes, baptisé Cryptonight, a été conçu pour une exécution optimale avec des processeurs grand public(quelle coïncidence !). Une occasion bien trop favorable pour ne pas être saisie par des criminels constamment aux aguets, en quête de vulnérabilités leur permettant d’injecter Coinhive : Los Angeles Timeset Blackberry Mobilesont deux exemples de sites web de renom ayant été compromis à cette fin en 2018. Sans parler des discrètes options d’opt-in proposées par Coinhive qui n’ont jamais été respectées dans ces cas de figure.

Pour autant, il ne s’agit là que de la partie émergée de l’iceberg, l’ampleur, l’omniprésence et la constance des campagnes de cryptominage pirate ne faisant que se renforcer au fil de vos pérégrinations sur Internet. Le mode opératoire aujourd’hui adopté par les cybercriminels est du même ordre que la publicité malveillante (minevertising), se caractérisant par l’injection de code Coinhive dans des publicités diffusées par des plates-formes telles qu’AOL ou Google DoubleClick (deux exemples se sont produits en 2018). Que l’utilisateur quitte la page compromise ou ferme son navigateur (ou, du moins, pense le fermer) n’a même aucune importance puisque le code malveillant peut être dissimulé dans une minuscule fenêtre non sollicitée s’affichant à l’arrière-plan (« pop-under »), derrière la barre des tâches Windows, le rendant omniprésent et invisible à l’utilisateur. Dans certains cas, des extensions malveillantes de navigateur ont également injecté(es)Coinhive directement dans ce dernier.

Rôle du cloud

Le soleil finit toujours par percer les nuages… Sur la listedes cinq attaques les plus dangereuses présentée par le SANS Institute lors de la dernière RSA Conference figurent à la fois les fuites de données stockées dans le cloud et la monétisation des systèmes compromis via des cryptomineurs. Les fuites dans le cloud sont souvent la conséquence de configurations inadéquates (autorisations inappropriées ou absence de protection adéquate par mot de passe). Outre le vol de données, ces mêmes erreurs de configurations peuvent être mises à profit par des escrocs pour faire monter en régime leurs propres instances et miner ainsi de la cryptomonnaie aux dépens de la victime, en ayant la quasi-certitude que cette dernière ne détecte rien. Du moins jusqu’à ce qu’elle reçoive sa facture d’électricité. La redoutable association des deux techniques d’attaques répertoriées par le SANS Institute a d’ores et déjà fait certaines victimes de renom, comme Tesla, dont le cloud public a servi au minage de cryptomonnaie.
Il faut également composer avec d’autres risques. Les mineurs peuvent faire appel à des services cloud connus pour s’infiltrer plus rapidement au sein des entreprises (l’équipe Netskope Threat Research Labs a mis au jour un mineur Coinhive résidant sur une instance Microsoft Office 365 OneDrive for Business), ou se soustraire à la détection (commeZminerqui télécharge des charges utiles depuis le service de stockage cloud Amazon S3).

Recommandations d’ordre général

Quelques mesures peuvent être prises pour contrer la menace grandissante du cryptojacking.

1. Régir l’usage du web au moyen d’une plate-forme de protection contre les menaces effective à plusieurs niveauxcomme Netskope for Web, capable d’unifier la sécurité SaaS, IaaS et web de manière centralisée.

2. Détecter les cryptomineurs dans le cloud et y remédier, au moyen d’une solution CASBsensible aux menaces telle que Netskope : veiller au respect de règles régissant l’utilisation de services non autorisés, ainsi que d’instances non autorisées de services cloud autorisés afin de bloquer les attaques hybrides sur plusieurs niveaux dès lors que la charge utile est téléchargée d’un service cloud.

3. Exemples de règles à faire appliquer :
• Analyser tous les transferts opérés vers des applications cloud autorisées à partir d’équipements non administrés afin d’y rechercher d’éventuels logiciels malveillants.
• Analyser tous les transferts opérés vers des applications cloud autorisées à partir d’équipements distants afin d’y rechercher d’éventuels logiciels malveillants. Analyser tous les téléchargements effectués à partir d’applications cloud non autorisées dans cette même optique.
• Analyser tous les téléchargements effectués à partir d’instances non autorisées d’applications cloud autorisées afin d’y rechercher d’éventuels logiciels malveillants. Appliquer des actions de mise en quarantaine/blocage sur la détection de logiciels malveillants afin de réduire l’impact côté utilisateurs.
• Bloquer les instances non autorisées d’applications cloud autorisées/connues afin d’empêcher les assaillants d’abuser de la confiance des utilisateurs dans le cloud. Si cette mesure peut sembler restrictive, elle limite considérablement les tentatives d’infiltration de malwares via le cloud.

4. Déployer une solution CASB capable de réaliser une évaluation de sécurité continueet d’effectuer un suivi de votre configuration IaaS/PaaS. Autrement dit de prendre en compte les configurations d’infrastructure inadéquates et les vulnérabilités susceptibles d’entraîner des compromissions et l’installation ultérieure de cryptomineurs, ou d’instances malveillantes destinées au minage de cryptomonnaie.

5. Bien évidemment, faire en sorte de mettre en place un processus de gestion efficace des correctifs pour les clients et les serveurs. Vérifier que l’antivirus d’entreprise est à jour, et que les dernières versions et les derniers correctifs sont installés.

6. Favoriser l’utilisation responsable des ressources de l’entreprise :
• Rappeler aux utilisateurs de ne pas exécuter de macros non signées, ni des macros provenant d’une source non fiable, à moins qu’ils ne soient absolument certains de leur caractère inoffensif
• Rappeler aux utilisateurs de ne pas exécuter de fichier, à moins qu’ils ne soient absolument certains de leur caractère inoffensif
• Mettre en garde les utilisateurs contre l’ouverture de pièces jointes, quels que soient les extensions ou noms de fichiers

7. Les bloqueurs de publicités ou extensions de navigateur comme NoScriptpeuvent contribuer à mettre obstacle au cryptominage pirate. Certaines extensions de navigateur publiées récemment peuvent bloquer des mineurs JavaScript comme CoinHive ; prenez soin, néanmoins, de n’installer des extensions dignes de confiance, celles qui se révèlent douteuses étant également couramment employées pour injecter des cryptomineurs à l’intérieur du navigateur directement.

8. Les administrateurs peuvent créer des règles de pare-feu pour bloquer les pools de bitcoins dont il est question dans l’article Wikipedia. (Paolo Passeri, Global Solutions Architech chez Netskope)

Cryptomonnaie : comment ne pas miner à l’insu de son plein gré !

Arenavision, un site de vidéos d’évènements sportifs à la demande, a été piraté et a ainsi permis de miner de la cryptomonnaie sans que ses utilisateurs ne s’en aperçoivent.

Alors que la France est classée quatrième en termes de nombre de visiteurs sur la plateforme de vidéos sportives ArenaVision, les amateurs de sport ont tout intérêt à rester vigilants face à ce type de menaces. Le site a été piraté.

Les malveillants n’ont pas « defacé » le site (barbouillé), ils ont caché un script qui leur a permis de miner de la cryptomonnaie à chaque passage de spectateurs. Le script utilisait la puissance machine des internautes pour générer des monnaies numériques.

« Les pirates exécutent des calculs de transactions à partir du navigateur de l’internaute ciblé. souligne Michal Salát, Threat Intelligence Director chez Avast. Partant du constat que plus un visiteur reste sur une page, plus un pirate a le temps de créer de la cryptomonnaie« . Plus le site a de l’audience, plus il va rapporter de l’argent aux pirates. Imaginez, le nombre d’internautes regardant un match de football, de rugby, de baseball … La plupart des téléspectateurs les regardent intégralement, donnant alors au pirate tout le loisir de miner !

Selon SimilarWeb, Arenavision a été visité 6,6 millions de fois en décembre dernier, avec une durée moyenne de trois minutes et trente secondes par visite sur la page d’accueil. En imaginant que de nombreux utilisateurs se soient servi d’un PC ou d’un ordinateur portable, l’éditeur estime le nombre de visiteurs à 6 millions au cours de cette période. A partir de ces chiffres, les gains estimés sont de 840 dollars sur le mois pour les pirates et uniquement via la page d’accueil du site.

Les programmes de minage ralentissent les performances des navigateurs, et par conséquent la batterie se décharge plus vite. Les visiteurs des sites ciblés peuvent éventuellement remarquer un fonctionnement général de l’ordinateur plus lent et bruyant. En cas de doute, il est possible de contrôler si un navigateur est secrètement miné grâce à plusieurs techniques : Vérifier quels scripts sont chargés. Si vous remarquez une importante charge de votre processeur mais qu’il n’y a qu’un seul onglet dans le navigateur ouvert, et il n’exécute aucun élément susceptible d’impacter cette charge, alors il est sûrement exploité pour du minage de cryptomonnaie. Bloquer les sites suspectés. Télécharger des bloqueurs de minage.

Selon AdGuard, 500 millions de personnes ont déjà été touchées, en 3 semaines, par les outils JSEcoin, CryptoLoot ou encore MineMyTraffic. 220 sites web, sur 1000 analysés minaient de la monnaie numérique. Bref, chacun fabrique sa petite planche à billet. 18,66% étaient américains ; 13,4% étaient indiens. 12,44% Russes et 8,13% étaient Brésiliens. 22,27% de ce sites proposaient de regarder des films et des vidéos. 17,73% proposaient de télécharger des fichiers. 10% concernaient des espaces pour adultes. 7,73% étaient des médias.

L’espace ZeroDot1 propose une liste de sites et de scritps à bloquer. Pour votre navigateur (sous Chrome), le widget No Coin permet de bloquer les tentatives de minage sur le dos de votre navigateur et CPU. Même action pour MinerBlock.

Le minage de cryptomonnaie gagne du terrain : le cryptomining va-t-il avoir le même succès que les ransomwares ?

Les pirates informatiques sont opportunistes, le minage de cryptomonnaie gagne du terrain. Au fur et à mesure que les constructeurs augmentent la puissance des matériels, ces dispositifs deviennent des cibles de plus en plus utiles pour les Botnets. Dans le même temps, les pirates informatiques recherchent les vulnérabilités des périphériques ou exploitent des applications et des périphériques mobiles Dès l’instant qu’un réseau n’est pas sécurisé.

Le minage de cryptomonnaie en tête de gondole pirate. Les Ransomwares ont permis de monétiser facilement ces vulnérabilités et ont eu comme effet secondaire de faire exploser la valeur des crypto-monnaies en raison de leur intérêt croissant. L’extraction de crypto-monnaies (cryptocurrency mining), qui consiste à confirmer des transactions en Bitcoin ou autre monnaies virtuelles, est parfaitement légal. Les développeurs d’applications mobiles recherchent des moyens de monétiser leur travail sur ce marché concurrentiel et l’extraction de bitcoin via ces applications est devenue une opportunité intéressante. Cependant, cette méthode de monétisation pose problèmes lorsque les utilisateurs ne savent pas que leurs appareils sont utilisés pour extraire de la monnaie numérique.

Les récentes poursuites judiciaires contre Apple, accusé de ralentir les performances des versions les plus anciennes de ses iPhones, pourrait devenir un précédent juridique dans le cadre de futures poursuites pour des affaires de « cryptocurrency mining ». Si un utilisateur peut poursuivre Apple en justice puisque son téléphone a été ralenti sans qu’il ne le sache, des développeurs qui installent des capacités minières affectant les performances et la durée de vie des batteries pourraient également être tenus responsables.

Non seulement cette menace est amenée à s’installer, mais elle est en train de devenir aussi présente que les ransomwares. Par exemple, des indicateurs fiables montrent que les pirates utilisent d’anciennes vulnérabilités plus pour miner de la crypto-monnaies après avoir initialement tenté une infection pour générer des bitcoins sans exiger de rançon. Au fur et à mesure que ce pool se rétrécit, les mineurs se concentrent sur l’extraction de la valeur par d’autres moyens, tels que l’utilisation du malware comme arme DDoS.

Bien que la malveillance de ce type d’applications mobiles et de navigateurs Web infectés fasse l’objet de débats, nous pouvons dire avec certitude que nous assistons à la naissance d’une nouvelle forme de malware. Et sans une stratégie robuste de sécurité et de surveillance, ainsi que la visibilité du réseau pour protéger les applications et les ordinateurs, on doit s’attendre à devenir les prochaines victimes du cryptocurrency mining.

L’extraction à l’ère du mobile
L’ère du mobile a créé une occasion pour les pirates de tirer le meilleur parti des logiciels malveillants destinés à miner de la crypto-monnaie. Cette pratique nécessite de la puissance CPU pour générer de la valeur, de la puissance de traitement de données et consomme de l’électricité, trois besoins qui coûtent de l’argent.

Les recherches montrent qu’il existe de nombreuses applications Android malveillantes qui circulent actuellement sur Internet. Parmi elles, certains crypto-mines ont réussi à contourner les filtres pour intégrer le Google Play Store. Une récente analyse sur les malwares visant les mobiles a conduit les chercheurs à identifier un certain nombre de portefeuilles de crypto-monnaie et de comptes appartenant tous à un même développeur russe, lequel affirme que son activité est parfaitement légale pour faire de l’argent.

Dans le domaine de l’industrie, nous avons un point de vue totalement différent et nous considérons que le minage de crypto-monnaies est un détournement du dispositif d’un utilisateur. Bien qu’il soit techniquement légal que l’extraction de crypto-monnaies soit divulguée, ces actions sont délibérément trompeuses et manquent souvent de transparence.

Nous avons été témoins de l’utilisation de mineurs intégrés à des applications légitimes, disponibles sur l’Android Store, et qui sont utilisés pour extraire de la valeur à partir de téléphones mobiles, lorsque leurs propriétaires ne les utilisent pas. Au cours des derniers mois, il y a eu plusieurs cas de pirates exploitant des crypto-monnaies, même une fois que la fenêtre de navigateur était fermée.

Parmi les autres méthodes qu’utilisent les pirates pour déployer des mineurs de crypto-monnaies, on retrouve l’utilisation des forcers bruts Telnet/SSH, ainsi que l’injection SQL et l’installation directe des mineurs. Le crypto-minage, qu’il s’opère via les navigateurs ou les applications mobiles, va persister, de telle sorte que les entreprises concernées devraient améliorer leurs performances de sécurité, en apportant une visibilité et un contexte au niveau des applications à leurs outils de surveillance.

Plus d’appareils, plus de minage
Alors que de nouvelles menaces de sécurité émergent chaque semaine, il y a de fortes chances pour que d’autres périphériques soient rapidement infectés par des malwares de cryptocurrency mining. L’accroissement de la présence de dispositifs IoT va créer de nouvelles cibles pour les mineurs de crypto-monnaies. Nous pourrons également voir des attaques hybrides qui s’appuient d’abord sur un ransomware puis sur un crypto-mineur, afin de profiter deux fois d’une même attaque sur chaque ordinateur.

La plupart de ces attaques se produisent à la périphérie du réseau. L’une des attaques les plus fréquentes qui tente d’installer des crypto-mineurs est la vulnérabilité EternalBlue. Celle-ci a permis le développement de ransomwares comme WannaCry et Not-Petya. Et alors que les pirates n’utilisent pas de nouveaux outils ou de méthodes avancées pour déployer ces mineurs de crypto-monnaies, ils rencontrent quand même du succès. Par conséquent, les entreprises doivent avoir une stratégie réactive de gestion des correctifs, s’assurer que leurs règles IPS sont à jour, effectuer des tests pour s’assurer qu’elles peuvent détecter les vulnérabilités qui ne peuvent pas être corrigées immédiatement, et enfin, surveiller le trafic réseau pour identifier le trafic d’exploitation de chaque poste.

Si les organisations n’ont pas d’informations sur leurs réseaux, elles ne sont pas en mesure de savoir si leurs terminaux exploitent de la crypto-monnaie sans autorisation, divulguent des données en cas de brèche ou diffusent des malwares en interne. La mise en place d’une solution de surveillance du réseau les alertera dès le début d’un compromis en montrant un changement dans la configuration du trafic réseau. (Par Steve McGregory, Senior Director ATI Research chez Ixia)

Arnaque autour de la cryptomonnaie

Des pirates informatiques auraient réussi à détourner des millions de dollars dans une arnaque à la crypto-monnaie. De faux sites mis en place pour l’escroquerie.

Une petite dizaine de faux sites web. De fausses publicités exploitant le service publicitaire de Google (AdWords). Le tour était presque parfait pour une bande de pirates informatiques qui semble être basé du côté de l’Ukraine.

Une situation géographique qui semble être bonne, les autorités locales travaillant sur ce cas.

La campagne a été découverte en interne, chez Talos. Une campagne malveillante très simple, mais efficace. Les publicités Google AdWords ont permis aux escrocs de s’assurer un flux régulier de victimes.

Cette campagne ciblait des régions géographiques spécifiques et permettait aux assaillants d’amasser des millions de dollars de revenus grâce au vol de cryptomonnaie des victimes.

Data Security Breach a pu repérer plusieurs faux URL exploitant, par exemple, la fameuse technique des lettres exploitée par des langues étrangères (Faux sites Air France ; Faux URL Nike ; Faux URL Disneyland …) révélée par ZATAZ.

Pour le cas de cette arnaque, j’ai pu repérer des blokchaín.info (l’accent sur le i ; il manque le c à block) ; blockchaìn.com (l’accent sur le i) …

Zealot : Des codes pirates de la NSA utilisés pour installer des mineurs de cryptomonnaie

Opération Zealot : des codes informatiques volés aux pirates de la National Security Agency utilisés pour miner de la cryptomonnaie.

Des amateurs de jeux vidéos derrière l’Opération Zealot ? Les failles informatiques qui étaient exploitées par la National Security Agency (NSA) et volées par des pirates du nom de Shadow Brokers, ont été utilisés en mai et juin 2017 afin d’infiltrer des ordinateurs et lancer une cyberattaques de type ransomware. Du rançonnage avec le chiffrement des données sur un disque dur pénétré. Le propriétaire devait payer pour récupérer ses informations. Des attaques qui n’avaient pas eu l’impact financier qu’avaient du escompter les pirates.

On apprend aujourd’hui que des vulnérabilités NSA sont exploitées pour installer des mineurs de cryptomonnaies dans des ordinateurs piratés. Les experts de F5 Networks ont découvert une attaque qui recherche sur Internet des machines exécutant des serveurs exploitant des versions vulnérables d’Apache Struts et du logiciel DotNetNuke ASP.NET Content Management System. Des machines qui n’ont pas été mis à jour afin de corriger ces failles.

Exploitation de Struts

La vulnérabilité Apache Struts a été utilisée par un autre groupe de pirates dans une attaque à l’encontre d’Equifax. La nouvelle campagne de piratage a été surnommée Zealot.

Zealot télécharge un fichier qui permet de créer du Monero. Monero est une cryptomonnaie très centrée sur la vie privée. Une monnaie numérique devenue très populaire parmi les utilisateurs du Darknet. Elle est conçue pour protéger les utilisateurs. Les montants des portefeuilles et transactions ne peuvent être regardés par des tiers. Contrairement à de nombreuses autres cryptocurrences, telles que Bitcoin. Il a été découvert qu’une adresse Monero qui recevait des pièces extraites du logiciel malveillant avait reçu au moins 8 500 dollars US sous forme de Monero.

Il n’est pas possible de connaître le montant total des Moneros minés par cette infiltration informatique.

Les auteurs de ce nouveau malware « miner » Monero semblent être des fans du jeu vidéo Starcraft. La plupart des noms et des termes utilisés dans le code malveillant malware sont également utilisés dans le jeu vidéo Starcraft.

Le terme Zealot lui-même est utilisé dans les deux jeux vidéo StarCraft et StarCraft 2, et il se réfère à un type de guerrier.

Quand votre entreprise mine de la crypto-monnaie… pour les pirates

Votre ordinateur consomment-ils de l’énergie pour vos uniques intérêts ? L’extraction de cryptomonnaie présente une nouvelle menace pour les entreprises. Le tout dernier Threat Index de Check Point révèle une augmentation des extractions de cryptomonnaie en octobre, avec CoinHive en sixième place des logiciels les plus utilisés au monde.

Non, CoinHive ou les crypto-monnaies (cryptomonnaie) ne sont pas malveillantes. Leurs utilisations inapropriées par des malveillants transforment ces beaux projets en merdier sans nom. C’est un peu comme dire que la voiture est illégale car des chauffards roulent à 230kms heures et tuent des gens. Que des braqueurs se servent d’une automobile pour attaquer une banque. Toujours est-il que l’ambiance autour des monnaies démateriealisées ne va pas s’arranger dans les semaines à venir.

Suite à la récente étude de Check Point démontrant que les extracteurs de cryptomonnaie peuvent frauduleusement utiliser jusqu’à 65 % des ressources totales en CPU d’un utilisateur final, sans son approbation, la variante CoinHive a fait son apparition dans le Threat Index d’octobre en 6e position. Ce logiciel malveillant est conçu pour extraire la cryptomonnaie Monero lorsqu’un utilisateur consulte une page web, sans l’approbation de l’utilisateur. CoinHive implante du code JavaScript, qui utilise ensuite le CPU de l’utilisateur final, impactant gravement les performances de sa machine.

Comme en septembre, RoughTed et Locky sont les deux menaces les plus répandues. Cependant, le logiciel malveillant Seamless, un redirecteur transparent de trafic, a fait son entrée parmi les trois premiers. Ce logiciel malveillant redirige silencieusement ses victimes vers une page web pirate. Elle infecte à l’aide d’un kit d’exploitation de vulnérabilités. L’infection réussie permet au pirate de télécharger d’autres logiciels malveillants.

Maya Horowitz, Threat Intelligence Group Manager chez Check Point, précise : « L’émergence de Seamless et de CoinHive souligne une fois de plus le besoin en technologies avancées de prévention des menaces pour sécuriser les réseaux contre les cybercriminels. L’extraction de cryptomonnaie est un nouvel acteur silencieux et pourtant significatif dans le paysage des menaces. Elle permet à des pirates de générer d’importants revenus tandis que les postes et les réseaux des victimes souffrent de latence et d’une baisse de performance. »

Top 3 des logiciels malveillants en octobre 2017

RoughTed est un logiciel de publicité malveillante. Contournement les bloqueurs de publicités. RT déclenche une série d’escroqueries, d’exploitations de vulnérabilités et de logiciels malveillants. Il est en mesure d’attaquer n’importe quel type de plate-forme et de système d’exploitation. Il utilise des techniques de prise d’empreintes pour délivrer l’attaque la plus pertinente.

Locky est connu. Un ransomware diffusé en février 2016. Il se propage principalement via des mails et des pièces jointes au format Word ou Zip. Il télécharge et installe un logiciel qui chiffre les fichiers des utilisateurs.

Seamless est un système de répartition de trafic. Il redirige silencieusement ses victimes vers une page web malveillante. Elle infecte les machines à l’aide d’un kit d’exploitation de vulnérabilités. L’infection permet au pirate de télécharger d’autres logiciels malveillants.

La liste des logiciels malveillants les plus couramment utilisés pour attaquer les actifs mobiles des entreprises a connu un changement par rapport à septembre, avec le logiciel rançonneur LeakerLocker pour Android apparaissant en seconde position.

Top 3 des logiciels malveillants mobiles

Triada – Une porte dérobée modulaire pour Android accordant des privilèges super-utilisateur aux logiciels malveillants téléchargés pour mieux les intégrer dans les processus système. Triada charge également de fausses URL dans le navigateur. LeakerLocker – Un logiciel rançonneur sur Android accédant aux données personnelles de l’utilisateur, puis les lui présentant en le menaçant de les divulguer en ligne en cas de non-paiement d’une rançon. Lootor – Outil de piratage ciblant des vulnérabilités du système d’exploitation Android afin d’obtenir des privilèges root sur les appareils mobiles compromis.

L’indice Check Point des menaces et la carte ThreatCloud sont alimentés par des renseignements issus de Check Point ThreatCloud, le plus grand réseau collaboratif de lutte contre la cybercriminalité, qui fournit des données et des tendances sur les menaces et les attaques grâce à un réseau mondial de capteurs. La base de données ThreatCloud comprend plus de 250 millions d’adresses analysées pour découvrir des bots, plus de 11 millions de signatures de logiciels malveillants et plus de 5,5 millions de sites web infectés. Elle identifie des millions de types de logiciels malveillants quotidiennement. La liste complète des 10 principales familles de logiciels malveillants en octobre est disponible sur le Blog Check Point.

Pour la France, le top 5 comprend : Roughted, Locky, Pushdo, Seamless ou encore Conficker. CoinHive s’affiche à la 6ème position.

Pourquoi la Corée du Nord est-elle si intéressée par le bitcoin?

Quand la Corée du Nord louche sur les bitcoin ! En 2016, nous avons commencé à observer des acteurs que nous pensons être nord-coréens, qui utilisent leurs capacités d’intrusion pour mener à bien des cybercrimes, cibler les banques et le système financier mondial. Cela a marqué un écart par rapport à l’activité précédemment observée des acteurs nord-coréens employant un cyberespionnage pour les activités traditionnelles de l’État national.

Étant donné la position de la Corée du Nord en tant que nation paria, coupée d’une grande partie de l’économie mondiale – ainsi que d’une nation qui emploie un bureau du gouvernement pour mener une activité économique illicite – ce n’est pas tout à fait surprenant. Avec le contrôle étroit de la Corée du Nord sur ses capacités militaires et de renseignement, il est probable que cette activité ait été menée pour financer les caisses de l’État ou personnelles de l’élite de Pyongyang, car les sanctions internationales ont contraint le royaume ermite.

Depuis, nous assistons à une deuxième vague de cette campagne: les acteurs parrainés par l’État cherchant à voler le bitcoin et d’autres monnaies virtuelles afin d’échapper aux sanctions et d’obtenir des devises fortes pour financer le régime. Depuis mai 2017, nous avons observé que les acteurs nord-coréens visaient au moins trois échanges de crypto-monnaies en Corée du Sud avec l’intention suspecte de voler des fonds. Le spearphising que nous avons observé dans ces cas, ciblent souvent les comptes de courrier électronique personnels des employés dans les échanges de devises numériques, en utilisant fréquemment des leurres à thème fiscal et en déployant des logiciels malveillants (PEACHPIT et des variantes similaires) liés à des acteurs nord-coréens soupçonnés d’être responsables des intrusions dans les banques mondiales 2016.

Ajoutez à cela les liens entre les opérateurs nord-coréens et le compromis d’un site de nouveaux bitcoin en 2016, ainsi qu’un exemple d’utilisation d’un mineur crypto-courant clandestin. On commence à voir l’intérêt nord-coréen pour les crypto-monnaies, une catégorie dans laquelle le bitcoin a augmenté de plus de 400% depuis le début de cette année.

L’activité nord-coréenne 2017 contre les cibles des crypto-monnaies sud-coréennes
22 avril – Quatre portefeuilles sur Yapizon, un échange de crypto-monnaie sud-coréen, sont compromis. (Il est intéressant de noter que certaines des tactiques, techniques et procédures employées au cours de ce compromis étaient différentes de celles que nous avons observées dans les tentatives d’intrusion suivantes et, jusqu’à présent, il n’y a pas d’indications claires de la participation nord-coréenne).

26 avril – Les États-Unis annoncent une stratégie de sanctions économiques accrues contre la Corée du Nord. Les sanctions de la communauté internationale pourraient conduire l’intérêt nord-coréen pour la crypto-monnaie, comme cela a été mentionné précédemment.

Début mai – le démarrage du spearphishing contre l’échange sud-coréen n ° 1 commence.

Fin mai – échange sud-coréen n ° 2 compromis par spearphish.

Début juin – Une activité nord-coréenne plus suspectée visant des victimes inconnues, considérées comme des fournisseurs de services de crypto-monnaie en Corée du Sud.

Début juillet – Exchange sud-coréen n ° 3 ciblé via le phishing de lance à un compte personnel.

Les avantages à cibler les crypto-monnaies
Alors que les échanges de bitcoin et de crypto-monnaies peuvent sembler des cibles étranges pour les acteurs de l’État-nation intéressés à financer les coffres de l’État, certaines des autres actions illicites de la Corée du Nord continuent de démontrer l’intérêt de mener des crimes financiers au nom du régime. L’Office 39 de la Corée du Nord participe à des activités telles que la contrebande d’or, la contrefaçon de monnaie étrangère et même l’exploitation de restaurants. En plus de l’accent mis sur le système bancaire mondial et les échanges de crypto-monnaie, un rapport récent d’un institut sud-coréen a souligné la participation des acteurs nord-coréens dans le ciblage des guichets automatiques avec des logiciels malveillants.

Si les acteurs compromettent un échange (par opposition à un compte ou un portefeuille individuel), ils peuvent potentiellement déplacer les crypto-monnaies sur des portefeuilles en ligne, les échanger contre d’autres crypto-monnaies plus anonymes ou les envoyer directement à d’autres portefeuilles sur différents échanges pour les retirer dans des devises tels que le won sud-coréen, le dollar américain ou le renminbi chinois. Sachant que l’environnement réglementaire autour des crypto-monnaies émerge encore, certains échanges dans différentes juridictions peuvent avoir des contrôles de lutte contre le blanchiment d’argent, ce qui facilite le processus et rend les échanges plus attrayants pour ceux qui cherchent une monnaie forte.

Comme le bitcoin et les autres crypto-monnaies ont augmenté en valeur au cours de la dernière année, les États-nations commencent à prendre connaissance du phénomène. Récemment, un conseiller du président Poutine en Russie a annoncé son intention de recueillir des fonds pour augmenter l’implication de la Russie dans l’extraction du bitcoin. Les sénateurs du parlement australien ont proposé de développer leur propre crypto-monnaies nationale.

Par conséquent, il ne faut pas être surpris si les crypto-monnaies, en tant que classe d’actifs émergents, deviennent une cible d’intérêt pour un régime qui fonctionne de plusieurs façons, comme une entreprise criminelle. Alors que la Corée du Nord est actuellement un peu différente de la volonté de s’engager dans la criminalité financière et de la possession de capacités d’espionnage cybernétique, l’unicité de cette combinaison ne durera probablement pas à long terme, car les cyber-pouvoirs augmentent et pourraient y voir un potentiel similaire. Les cybercriminels pourraient ne plus être les seuls acteurs néfastes dans cet environnement. (par FireEye)

cryptomonnaie : Quand les cybercriminels s’enrichissent à votre insu

ESET a découvert une nouvelle vague de code JavaScript utilisé par des cybercriminels pour miner de la cryptomonnaie depuis le navigateur des visiteurs de sites non compromis.

Quand de la cryptomonnaie est « fabriquée » par des pirates dans votre navigateur ! Comme la plupart des navigateurs activent JavaScript par défaut, il suffit aux cybercriminels d’insérer un script d’extraction sur les sites Internet qui génèrent un trafic important. En effet, il est plus facile d’atteindre un nombre significatif de machines en infectant des sites Internet qu’en infectant directement les machines des utilisateurs.

Les recherches d’ESET montrent que les cybercriminels ciblent les sites Internet de films en streaming et de jeux vidéo, car ces internautes ont tendance à rester longtemps sur une même page. Les scripts d’exploitation fonctionnent donc plus longtemps, ce qui augmente la qualité du minage des cryptomonnaies Feathercoin, Litecoin et Monero. « Cette technique est moins efficace que le minage réalisé avec un logiciel, car elle est 1,5 à 2 fois plus lente. Cependant, le nombre d’utilisateurs disponibles contrebalance cette lenteur », explique Benoît Grunemwald, Cybersecurity Leader chez ESET.

Certains considèrent que miner de la cryptomonnaie sur la machine d’un utilisateur sans son consentement équivaut à une intrusion. Pour que cela soit légal, il conviendrait d’avertir clairement l’utilisateur avant de commencer le minage, ce que les cybercriminels ne font pas en détournant des annonces publicitaires en mineurs.

Les chercheurs ESET dressent les recommandations à suivre pour se protéger contre ce type de menace :

• activer la détection des applications potentiellement dangereuses et des applications potentiellement indésirables (PUA). Cette fonctionnalité est disponible dans les solutions ESET.

• mettre à jour sa solution de sécurité.

• installer un bloqueur d’annonces dans le(s) navigateur(s) utilisé(s) (uBlock par exemple).

• installer un bloqueur de scripts tel que NoScript. Attention, l’installation du blocage des scripts dans le navigateur peut désactiver certaines fonctionnalités de sites Internet.