Archives par mot-clé : botnets

Wipers et botnets IoT dominent le paysage des menaces

La guerre entre la Russie et l’Ukraine, la multiplication des équipements connectés et les botnets IoT ont eu le plus fort impact sur les menaces visant les systèmes de contrôle des processus industriels (ICS).

Selon le dernier rapport de sécurité OT et IoT de Nozomi Networks Labs, les malwares de type « wipers », l’activité des botnets IoT et la guerre entre la Russie et l’Ukraine ont eu un fort impact sur le paysage des menaces au premier semestre 2022.

Depuis le début de l’invasion de l’Ukraine par la Russie en février 2022, les chercheurs ont observé l’activité de plusieurs types d’acteurs malveillants, notamment des hacktivistes, des APT étatiques et des cybercriminels. Ils ont également été témoins de l’usage intensif de wipers, ainsi que de l’apparition d’un variant d’Industroyer, nommé Industroyer2, conçu dans le but de détourner le protocole IEC-104, couramment utilisé dans les environnements industriels. Comme le montre le blog ZATAZ, spécialiste de l’actualité liée à la lutte contre la cybercriminalité, les assauts des pirates informatiques Russes et Ukrainiens ont évolué de manière significative.

Toujours au premier semestre 2022, l’activité des botnets IoT s’est intensifiée et complexifiée. Nozomi Networks Labs a mis en place une série de honeypots destinés à attirer ces robots malveillants et à en capter l’activité afin d’en savoir plus sur la manière dont ils ciblent l’Internet des objets. Les analystes de Nozomi Networks Labs ont ainsi exprimé des préoccupations croissantes autour de la sécurité des mots de passe codés « en dur » et des interfaces Internet servant à l’identification des utilisateurs. De janvier à juin 2022, les honeypots de Nozomi Networks ont permis les découvertes suivantes :

Mars 2022 a été le mois le plus actif, au cours duquel ont été collectées près de 5000 adresses IP distinctes de cyberattaquants. Les plus nombreuses de ces adresses IP se situaient en Chine et aux Etats-Unis. Les identifiants root et admin sont les plus fréquemment ciblés et exploités selon diverses méthodes par des acteurs malveillants afin d’accéder à l’ensemble des commandes et comptes utilisateurs.

En matière de vulnérabilité, les secteurs de la fabrication et de l’énergie demeurent les plus exposés, suivis par la santé et le commerce.
La CISA a rendu publiques 560 CVE, un nombre en recul de 14 % comparé au second semestre 2021.
Le nombre de fabricants touchés a augmenté de 27 %.
Le nombre de produits touchés est lui aussi en hausse, de 19 % par rapport au second semestre 2021.

« Cette année, le paysage des cybermenaces s’est complexifié, commente Roya Gordonde chez Nozomi Networks. « De nombreux facteurs, notamment la multiplication des équipements connectés, la sophistication des acteurs malveillants ou encore l’évolution des motifs des attaques accentuent le risque de piratages de données ou de cyberattaques physiques. Heureusement, les défenses de sécurité évoluent elles aussi. Des solutions sont disponibles dès à présent pour apporter aux infrastructures critiques la visibilité réseau, la détection dynamique des menaces et les informations de veille exploitables nécessaires pour réduire leurs risques et renforcer leur résilience. »

Les botnets mineurs infectent des milliers de PC et rapportent des centaines de milliers de dollars aux pirates

Mineurs de crypto monnaie ! L’équipe de recherche antimalware de Kaspersky Lab a identifié deux botnets composés d’ordinateurs infectés par un malware, qui installe en toute discrétion des « mineurs » de cryptomonnaie – des logiciels légitimes servant à la création (« minage ») de monnaies virtuelles au moyen de la technologie blockchain. Dans un cas, les chercheurs ont pu estimer qu’un réseau de 4 000 machines était susceptible de rapporter à ses exploitants jusqu’à 30 000 dollars par mois et, dans l’autre cas, ils ont vu des cybercriminels empocher plus de 200 000 dollars grâce à un botnet de 5000 PC.

Des mineurs dans votre ordinateur ! L’architecture du bitcoin et d’autres cryptomonnaies prévoit que, en dehors d’acheter de la cryptomonnaie un utilisateur peut créer une nouvelle unité monétaire (une « pièce ») en se servant de la puissance informatique de machines où sont installés des logiciels spécialisés, appelés des « mineurs ». Cependant, le concept des cryptomonnaies fait que plus le nombre de pièces produites est élevé, plus il faut de temps et de puissance informatique pour en créer une nouvelle.

Il y a plusieurs années de cela, un malware installant en toute discrétion des mineurs de bitcoin (exploitant les ordinateurs des victimes afin de créer de la monnaie virtuelle au profit de cybercriminels) était chose courante dans le paysage des menaces mais, plus le logiciel créait de bitcoins, plus il devenait difficile – voire, dans certains cas, inutile – d’en créer de nouveaux, de sorte que le gain financier potentiel à espérer d’un mineur de bitcoins ne couvrait pas l’investissement nécessaire à la création et à la distribution du malware, ainsi qu’à la maintenance de l’infrastructure sous-jacente.

La montée en flèche du cours du bitcoin a remis au goût du jour les attaques de mineurs sur des PC du monde entier.

Or, la montée en flèche du cours du bitcoin – la première et la plus connue des monnaies virtuelles – ces dernières années, à raison de plusieurs centaines de milliers de dollars l’unité, a déclenché une véritable « fièvre des cryptomonnaies » à travers le monde. Des centaines de groupes et de start-ups ont lancé leurs propres alternatives au bitcoin, dont bon nombre ont elles aussi pris une valeur élevée sur le marché en un laps de temps relativement court.

Ces évolutions sur le marché des cryptomonnaies n’ont pas manqué d’attirer l’attention des cybercriminels, qui se livrent désormais à des fraudes consistant à installer discrètement des mineurs sur des milliers de PC.

Une propagation par le biais de programmes publicitaires volontairement installés par les victimes

D’après les résultats d’une étude récente réalisée par les experts de Kaspersky Lab, les criminels qui se cachent derrière les botnets nouvellement découverts propagent les logiciels mineurs à l’aide de programmes publicitaires (adware), installés volontairement par les victimes. Une fois en place, l’adware télécharge un composant malveillant, qui installe le mineur mais effectue aussi certaines actions de sorte que ce dernier fonctionne le plus longtemps possible :

  • Tentative de désactivation des logiciels de sécurité ;
  • Surveillance de toutes les applications lancées et suspension de leur exécution si celles-ci sont destinées à surveiller les activités du système ou les processus en cours ;
  • Vérification de la présence constante d’une copie du logiciel mineur sur le disque dur et restauration de celle-ci si elle a été supprimée.

Aussitôt créées, les premières pièces sont transférées dans des porte-monnaie appartenant aux cybercriminels, laissant les victimes avec un ordinateur bizarrement ralenti et consommant un peu plus d’électricité que la normale. D’après les observations de Kaspersky Lab, la fraude tend à porter sur deux cryptomonnaies : Zcash et Monero. Celles-ci ont probablement été choisies car elles offrent un moyen fiable de préserver l’anonymat des transactions et des détenteurs de porte-monnaie.

Des botnets qui peuvent rapporter jusqu’à 6000 dollars par semaine aux cybercriminels via des mineurs infiltrés.

Les premiers signes d’un retour des mineurs malveillants ont été repérés par Kaspersky Lab dès décembre 2016, lorsqu’un chercheur de la société a signalé au moins un millier d’ordinateurs infectés par un malware et contenant des mineurs Zcash, une cryptomonnaie lancée vers la fin d’octobre 2016. A cette époque, grâce à la montée rapide du cours de cette monnaie, ce botnet pouvait rapporter à ses exploitants jusqu’à 6000 dollars par semaine. L’émergence de nouveaux botnets mineurs a alors été prévue et les résultats d’études récentes ont confirmé cette prévision.

« Le principal problème des mineurs malveillants réside dans la difficulté de détecter leur activité avec fiabilité, car le malware emploie un logiciel tout à fait légitime qui, en temps normal, aurait pu avoir été installé par un utilisateur de bonne foi. Un autre aspect alarmant, identifié durant l’observation de ces deux nouveaux botnets, est que les mineurs malveillants prennent eux-mêmes de la valeur au marché noir. Nous avons vu des criminels proposer des générateurs de mineurs, c’est-à-dire des logiciels permettant à tout un chacun, en payant pour obtenir la version complète, de créer son propre botnet mineur. Cela signifie que les botnets que nous avons repérés récemment ne sont certainement pas les derniers », commente Evgeny Lopatin, analyste en malware chez Kaspersky Lab.

Un nombre de victimes en perpétuelle augmentation

D’une manière générale, le nombre d’utilisateurs ayant eu affaire à des mineurs de cryptomonnaie a augmenté considérablement ces dernières années. En 2013, par exemple, les produits de Kaspersky Lab ont protégé à travers le monde environ 205 000 utilisateurs ciblés par ce type de menace. En 2014, ce nombre est passé à 701 000 et il a atteint 1,65 million au cours des huit premiers mois de 2017.

Afin d’éviter de voir leur ordinateur transformé en zombie consommant de l’électricité au profit de criminels, les chercheurs de Kaspersky Lab conseillent aux utilisateurs de prendre les précautions suivantes :

  • N’installez pas sur votre PC de logiciels suspects provenant de sources non fiables.
  • La fonction de détection d’adware est peut-être désactivée par défaut dans votre solution de sécurité. Prenez soin de l’activer.
  • Faites appel à une solution éprouvée de cybersécurité afin de protéger votre environnement numérique contre toutes les menaces possibles, y compris les mineurs malveillants.
  • Si vous exploitez un serveur, veillez à le protéger avec une solution de sécurité car les serveurs constituent des cibles lucratives pour les criminels en raison de leur puissance informatique élevée (comparée à un PC moyen).

Pour en savoir plus sur les botnets mineurs malveillants nouvellement découverts, rendez-vous sur Securelist.com