Une vulnérabilité Microsoft permet à des cybercriminels de miner la cryptomonnaie Monero

ESET® a découvert un réseau de botnets exploitant une vulnérabilité dans Windows Server 2003® leur permettant d’installer à l’insu de leurs propriétaires une version modifiée d’un mineur open source.

« Le minage est le procédé par lequel les transactions des cryptomonnaies sont sécurisées. À cette fin, les mineurs effectuent avec leur matériel informatique des calculs mathématiques pour le réseau de la crypto. Comme récompense pour leurs services, ils collectent les cryptos nouvellement créées ainsi que les frais des transactions qu’ils confirment ». Ces concentrations de ressources, rarement disponibles sur un seul serveur, obligent souvent les mineurs à se regrouper via des botnets pour augmenter leurs ressources de calcul.

Le malware qui crée de l'argent

Les experts ESET pensent que cette faille est exploitée depuis mai 2017. Les cybercriminels ont créé un réseau de botnets comprenant une centaine de machines. Ils ont ainsi généré plus de 63 000 dollars en cryptomonnaie Monero. ESET nomme cette menace Win32/CoinMiner.AMW trojan.

« Bien que Monero soit loin derrière Bitcoin en termes de capitalisation, il existe trois principales raisons pour lesquelles les cybercriminels l’exploitent », déclare Peter Kálnai, Malware Researcher chez ESET. Les voici. 

« 1/ Les transactions Monero sont intraçables 

2/ Monero s’appuie sur un algorithme appelé CryptoNight qui attribue clairement le travail effectué

3/ CryptoNight favorise l’utilisation des CPUet non pas des GPUcomme le Bitcoin », conclue-t-il.

Exploitation de la vulnérabilité Win32/CoinMiner.AMW trojan

En juillet 2015, Microsoft® a mis fin au support des mises à jour régulières pour Windows Server 2003. Malgré cela, en juin 2017 Microsoft a corrigé plusieurs vulnérabilités afin d'éviter que de grandes attaques telles que WannaCry se produisent à nouveau. 

Bien qu’elles soient disponibles, les mises à jour ne sont pas forcément appliquées : les administrateurs évitent leur installation automatique (plus d’informations dans notre livre blanc SCADA). « Les utilisateurs de Windows Server 2003 sont fortement invités à appliquer entre autres la mise à jour de sécurité KB3197835», déclare Michal Poslušný, Malware Analyst chez ESET. « Si les mises à jour automatiques échouent, les utilisateurs doivent les télécharger et les installer manuellement ».

Estimation du nombre de victimes et rentabilité

                                                                                                                                 

« En nous basant sur les performances des CPU équipant habituellement les serveurs 2003 et les gains réalisés, nous avons tenté de déterminer le nombre de serveurs infectés. Nous estimons que le réseau de botnets génère 5,5 XMR[1] par jour, soit 825 dollars américains selon le taux de change actuel. Le montant total de l’opération est estimé à 63 000 dollars américains », explique Benoît Grunemwald, Cybersecurity Leader chez ESET.

Cette activité cybercriminelle démontre l’ingéniosité de ses créateurs et le relatif niveau de compétences requis. Par ailleurs, les faibles coûts opérationnels nécessaires permettent d’obtenir des revenus significatifs. Dans ce cas précis, les cybercriminels ont détourné le logiciel de minage légitime et ciblé d'anciens systèmes non patchés.

Retrouvez l’analyse complète de ce malware sur  WeLiveSecurity, dont les IOCs et des illustrations.  

Nous sommes à votre disposition pour tout renseignement complémentaire.  

 

CONTACT PRESSE

Lucie FONTAINE

Chargée des Relations Presse

Téléphone : 01 55 89 09 60

lucie.f@eset-nod32.fr

À PROPOS D'ESET

Fondée en 1992, la société ESET est spécialisée dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public. Pionnier en matière de détection proactive des menaces véhiculées par l’Internet, ESET est aujourd'hui le leader dans ce domaine et classé 5e éditeur mondial dans le dernier rapport du Gartner Group. À ce jour, l’antivirus ESET Nod32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. ESET Nod32, ESET Smart Security et ESET Cybersecurity pour Mac sont reconnus et appréciés par des millions d’utilisateurs dans le monde. ESET a déjà reçu plusieurs distinctions en Allemagne notamment. Fin 2015, ESET Endpoint Security a été choisi par les lecteurs de Vogel IT Media comme le meilleur antivirus sur le marché allemand. De nombreuses autres récompenses ont distingué les solutions ESET : ESET Mobile avec Stiftung Warentest en février 2016, Prix CRN…


[1] XMR est le code utilisé sur les places de marché, comme USD pour les dollars américains