Selon le rapport « Exposing Malware in Linux-Based Multi-Cloud Environments », réalisé par l’équipe d’analyse des menaces de VMware, les cybercriminels s’attaquent désormais aux organisations publiques et privées pour miner secrètement des crypto-monnaies. Les environnements multi-cloud fondés sur Linux, longtemps épargnés, sont en train de devenir des cibles de choix pour ce type d’attaques.
Ce billet partage quelques élément clés du rapport : les composants de minage utilisés, les techniques déployées et la façon dont ce type de menace peut être détectée et mitigée.
Monero est la monnaie préférée du cryptojacking (XMR)
La plupart des attaques dites de cryptojacking entre dans l’une ou l’autre de ces deux catégories :
- Les malwares qui volent les portefeuilles de crypto-monnaies
- Les malwares qui détournent des cycles CPU ou GPU à des fins de minage
Le rapport révèle que la plupart des attaques de cryptojacking qui ciblent des environnements multi cloud fondés sur Linux se concentrent en fait sur le minage de Monero (ou XMR). La majorité de ces attaques utilisent pour cela des bibliothèques issues de XMRig.
Pourquoi Monero ?
Cette monnaie numérique est attrayante pour les cybercriminels car Monero est connue pour sa confidentialité (elle protège l’identité des utilisateurs, le montant de chaque transaction, etc.) En outre, contrairement au minage du bitcoin, le minage de Monero peut utiliser des cycles CPU ou GPU d’ordinateurs ordinaires.
« Il est très simple de déposer une variante du mineur open-source XMRig et de lancer le processus de monétisation sur une machine victime. Cette méthode est particulièrement bien adaptée à l’exploitation de logiciels de gestion de conteneurs, tels que Docker ou Kubernetes, lorsqu’ils sont mal configurés », explique Giovanni Vigna, directeur principal du renseignement sur les menaces chez VMware.
XMRig et les pools miniers
« Nous avons développé des signatures FLIRT pour les bibliothèques utilisées par XMRig lorsqu’elles sont compilées sur diverses distributions Linux. Nous avons également développé des détecteurs de modules Go pour identifier les modules pertinents liés à la cryptographie », explique M. Vigna. « Lorsque nous avons vérifié la présence de ces composants (écrits à la fois en C/C++ et en Go), nous avons constaté que 89 % des crypto mineurs utilisaient des bibliothèques dérivées du mineur open source XMRig. »
Le rapport a également identifié certains des pools miniers les plus utilisés par les crypto pirates. Enrôlée dans un pool minier, une machine victime peut contribuer au processus de minage global. Les attaquants peuvent alors bénéficier du minage collectif, la puissance de calcul d’un hôte seul étant généralement insuffisante pour obtenir des résultats significatifs.
Les familles de crypto mineurs Omelette, WatchDog et Kinsing ont également été examinées dans le rapport.
Les échantillons analysés ont révélé l’utilisation de l’empaquetage et de code généré dynamiquement de manière plus intensive par rapport, aux ransomwares, car l’objectif des crypto mineurs est de rester sous le radar aussi longtemps que possible tout en volant des cycles processeur.
Atténuer la menace du cryptojacking
Les attaques de cryptojacking peuvent entraîner une hausse des factures d’énergie, un ralentissement de la production ou une augmentation des coûts des factures de cloud computing. Ces attaques sont souvent difficiles à détecter car elles ne perturbent pas entièrement les opérations des environnements, comme le font les ransomwares, ou ne déclenchent pas d’alarme, comme le ferait une violation de données en détectant un accès non autorisé ou anormal à des données sensibles.
Selon le rapport, la meilleure façon de détecter les attaques de cryptojacking est d’utiliser l’analyse du trafic réseau (NTA) pour identifier les hôtes internes qui communiquent les résultats du travail de minage à l’extérieur, car cette communication est nécessaire pour monétiser l’attaque. Les communications à rechercher pour une détection sont les connexions aux pools de minage. Cependant, de nombreux échantillons de logiciels malveillants de crypto minage se connectent à un hôte « centre de commande et de contrôle » qui agit comme un proxy réseau pour éviter d’être détecté. Des techniques de détection des anomalies plus sophistiquées sont nécessaires pour identifier la menace dans ces cas.
Par exemple, on pourrait rechercher des connexions au monde extérieur à partir d’hôtes qui, historiquement, ne s’y connectent jamais. Le rapport recommande que les solutions d’EDR déployées puissent être en mesure d’identifier des schémas anormaux d’utilisation du CPU, qui peuvent être directement associés aux calculs liés au minage de blockchain.
La surveillance concertée des environnements cloud, à l’aide de techniques de détection basées sur l’hôte et sur le réseau, peut aider à tenir ces attaques à distance.
Il ne s’agit là que de quelques points saillants de l’analyse présentée dans le rapport intitulé « Exposing Malware in Linux-Based Multi-Cloud Environments », qui offre également un aperçu complet des ransomwares et des outils d’accès à distance.
Téléchargez le rapport complet : – Exposing Malware in Linux-Based Multi-Cloud Environments
