Comment fonctionnent les cryptominers illicites ?
Il existe deux principaux types de cryptominers illicites :
1. Binaire – des applications malveillantes téléchargées et installées sur l'appareil visé dans le but d'exploiter la cryptoconnaissance. Les solutions de sécurité ESET classent la plupart de ces applications dans la catégorie des chevaux de Troie.
2. Par navigateur – JavaScript malveillant intégré à une page web ou à certaines de ses parties/objets, conçu pour exploiter la cryptocourant via les navigateurs des visiteurs du site. Cette méthode est appelée cryptojacking et est devenu de plus en plus populaire auprès des cybercriminels depuis la mi-2017. L'ESET détecte la majorité des scripts de cryptojacking comme des applications potentiellement indésirables (PUA).
Avertissement
La plupart des cryptominers illicites tentent d'exploiter Monero ou Ethereum. Ces cryptocurrences offrent aux cybercriminels plusieurs avantages par rapport aux bitcoins les plus connus : elles offrent un plus haut niveau d'anonymat des transactions et, surtout, peuvent être exploitées avec des CPU et GPU ordinaires au lieu de matériel coûteux et spécialisé. Les attaques de crypto-mining et de crypto-jacking ont été détectées sur toutes les plateformes de bureau courantes, ainsi que sur Android et iOS.
Pourquoi les PME devraient-elles se soucier des cryptominers illicites ?
Au total, 30 % des organisations du Royaume-Uni ont été victimes d'un crypto-jacking au cours du mois précédent, un enquête récente parmi 750 dirigeants du secteur des technologies de l'information au Royaume-Uni a trouvé. Ces statistiques documentent deux choses :
1. Despite illicit cryptomining posing a threat with seemingly lower severity, organizations should not underestimate the risk it represents. Mining usually hijacks a large portion of hardware’s processing power reducing performance and productivity. The power-intensive process causes additional stress to the hardware components and can damage targeted devices, shortening their lifespans.
2. Cryptominers expose vulnerabilities in an organization’s cybersecurity posture, which can lead to potentially more severe compromises and disruptions. Due to their higher and concentrated performance, business infrastructures and networks are a more valuable target than consumer devices, promising the attacker higher earnings within a shorter timeframe.
Comment reconnaître une attaque de cryptomining ?
Le crypto-mining et le crypto-jacking sont généralement associés à une activité de processeur extrêmement élevée, ce qui a des effets secondaires notables. Soyez attentifs à ce qui suit :
- Performance et productivité visiblement réduites de l'infrastructure
- Consommation d'énergie inhabituelle
- Trafic réseau suspect
Sur les appareils Android, une charge de calcul supplémentaire est nécessaire :
- Durée de vie de la batterie plus courte
- Augmentation notable de la température de l'appareil
- Baisse de productivité de l'appareil
- Dommages physiques dus au "gonflement" ; de la batterie dans le pire des cas
Comment protéger votre organisation contre les cryptographes ?
1. Protégez vos terminaux, serveurs et autres dispositifs avec des solutions de sécurité fiables et multicouches capable de détecter des scripts de cryptomining potentiellement indésirables (PUA) ainsi que des chevaux de Troie de cryptomining.
2. Implement Intrusion Detection Software (IDS) qui aide à identifier les modèles de réseau et de communication suspects potentiellement liés au cryptomining illicite (domaines infectés, connexions sortantes sur des ports miniers typiques tels que 3333, 4444 ou 8333, signes de persistance, etc.)
3. Augmenter la visibilité du réseau en utilisant une console de gestion à distance pour appliquer les politiques de sécurité, surveiller l'état du système ainsi que la sécurité des terminaux et des serveurs de l'entreprise.
4. Former tous les employés (y compris les cadres supérieurs et les administrateurs de réseau) sur la manière de maintenir une bonne cyber-hygiène et de créer et d'utiliser des mots de passe forts, renforcés par l'authentification à deux facteurs, renforcer la protection des systèmes des entreprises en cas de fuite ou d'utilisation frauduleuse des mots de passe.
Mesures complémentaires
5. Suivez le principe du moindre privilège. Tous les utilisateurs doivent disposer de comptes d'utilisateurs avec le moins de permissions possible, qui leur permettent d'accomplir leurs tâches actuelles. Cette approche réduit considérablement le risque que les utilisateurs et les administrateurs soient manipulés pour ouvrir ou installer des cryptominers ou d'autres logiciels malveillants dans un appareil connecté au réseau de l'entreprise.
6. Utilisez application controls qui réduisent au minimum les logiciels autorisés à fonctionner, empêchant ainsi l'installation de logiciels malveillants de cryptomining.
7. Mettre en œuvre un bon politique de mise à jour et de correctifs pour réduire considérablement le risque qu'une organisation soit compromise par des vulnérabilités connues auparavant, car de nombreux cryptominateurs avancés utilisent des exploits connus, tels que EternalBlue, pour leur distribution primaire.
8. Moniteur systèmes d'entreprise pour utilisation excessive de l'énergie ou d'autres anomalies de consommation d'énergie qui pourraient indiquer une activité de cryptomining non sollicitée.
Empêchez la cryptomining maintenant
ESET PROTECT
Advanced
Bénéficiez d'une protection efficace contre la cryptomining grâce aux solutions de sécurité multicouches ESET pour les points d'extrémité, capables de détecter les scripts de cryptomining potentiellement indésirables (PUA) ainsi que les chevaux de Troie de cryptomining. Comprend la protection Ransomware Shield et LiveGrid® via le cloud et la protection contre les attaques réseau. Combinez le puissant moteur d'analyse d'ESET avec ESET PROTECT Cloud et bénéficiez d'une visibilité détaillée du réseau.
