Qu'est-Ce Qu'un Crypto-Malware ?

mai 20, 2022

Un crypto-malware est un type de logiciel malveillant, ou malware, conçu pour mener des cyberattaques de cryptopiratage à long terme.

Définition du minage de cryptomonnaie, du cryptopiratage et autres termes liés aux crypto-malwares

Pour comprendre en quoi consiste et comment fonctionne un crypto-malware, il est important de comprendre ce qu’est une cryptomonnaie et comment elle est créée.

Parcourons ensemble quelques termes connexes :

  • Cryptomonnaie
  • Minage de cryptomonnaie
  • Cryptopiratage ou minage malveillant de cryptomonnaie

Une cryptomonnaie est une monnaie numérique qui peut être utilisée en ligne pour acheter des biens ou des services basés sur la technologie de blockchain. Contrairement à une monnaie classique, la cryptomonnaie est chiffrée et décentralisée. Autrement dit, elle ne peut pas être modifiée et n’est gérée par aucune autorité centrale. Une cryptomonnaie peut être utilisée à des fins légitimes, mais comme elle ne peut pas être tracée, c’est également une monnaie très appréciée des cybercriminels. Le bitcoin est la cryptomonnaie la plus connue, même si Monero gagne en popularité parmi les cybercriminels.

Le minage de cryptomonnaie ou cryptominage consiste à créer une unité de cryptomonnaie dans laquelle des « mineurs » résolvent des équations mathématiques complexes afin de valider des blocs de données et d’ajouter des détails transactionnels à une blockchain. Cette activité, qui est tout à fait légale, est rétribuée par un paiement en cryptomonnaie.

Le cryptopiratage, ou minage malveillant de cryptomonnaie, est l’utilisation non autorisée des ressources informatiques d’une personne ou d’une entreprise pour le minage de cryptomonnaie.

Un crypto-malware est un type de logiciel malveillant qui permet à un cybercriminel d’effectuer des opérations de cryptopiratage. Le processus utilisé par les cyberpirates est essentiellement le même que celui employé par les mineurs de cryptomonnaie légitimes, à ceci près que le crypto-malware exploite les terminaux et la puissance de traitement d’un autre utilisateur pour percevoir le paiement. Ce faisant, ces attaques consomment une bonne partie des ressources de l’ordinateur de la victime sans aucune compensation pour le propriétaire du terminal.

2024 CrowdStrike Global Threat Report: résumé

Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.

Télécharger

Pourquoi observe-t-on une recrudescence des attaques de crypto-malware ?

Compte tenu de l’augmentation continue de la valeur des cryptomonnaies et de la généralisation de leur utilisation, les attaques de crypto-malware sont de plus en plus populaires au sein de la communauté cybercriminelle. Dans la plupart des cas, le crypto-malware peut s’exécuter en toute indépendance et indéfiniment une fois qu’il a été lancé sur le terminal de la victime. Les cyberattaquants peuvent ainsi compter sur des revenus stables tant que le code n’est pas détecté.

Compte tenu de l’émergence de nouvelles variantes de crypto-malware et de la mise en circulation continue de nouvelles cryptomonnaies, une recrudescence de ces attaques est à prévoir dans un avenir proche.

Fonctionnement d’un crypto-malware

Contrairement à la plupart des logiciels malveillants, un crypto-malware n’a pas pour finalité de voler des données. Son but est d’utiliser le terminal de la victime pour miner discrètement et en continu de la cryptomonnaie le plus longtemps possible.

Menace silencieuse, le crypto-malware prend souvent l’apparence d’un logiciel légitime qui, une fois téléchargé, injecte du code malveillant dans divers programmes et applications. Ce code est exécuté en arrière-plan pour miner de la cryptomonnaie chaque fois que la victime utilise son terminal.

Les publicités ou les sites web compromis constituent des méthodes d’infection avancées. Lorsque l’utilisateur visite le site infecté, le script est automatiquement exécuté sur son terminal. Cette forme d’attaque est d’autant plus difficile à détecter que le code malveillant n’est pas stocké sur l’ordinateur lui-même, mais dans le navigateur.

Différences entre attaques de crypto-malwares et attaques de ransomwares

Ces deux types d’attaques, dont l’objectif est de générer des revenus pour le cyberattaquant, recourent à des méthodes très différentes.

Une attaque de ransomware chiffre les données d’une victime jusqu’au versement d’une rançon à l’auteur de l’attaque. En l’absence de paiement, l’opérateur du ransomware peut vendre les informations sur le Dark Web pour en tirer un revenu.

Les ransomwares demeurent l’une des tactiques les plus rentables pour les cybercriminels. En effet, le coût mondial des ransomwares en 2020 a été estimé à 20 milliards de dollars et le montant moyen des rançons s’est élevé à 84 000 dollars.

Un crypto-malware opère silencieusement et en toute discrétion à l’arrière-plan du système d’un utilisateur. Contrairement à une attaque de ransomware qui exige un paiement direct, une attaque de crypto-malware table sur la persistance à long terme du code malveillant pour poursuivre le minage de cryptomonnaie à l’aide du terminal de la victime.

Quel est l’impact d’une attaque de crypto-malware ?

Dans la mesure où un crypto-malware ne vole pas de données de manière explicite, il n’est pas considéré comme une cybermenace majeure en comparaison avec une attaque de ransomware coûteuse, une compromission de données à grande échelle, un virus perturbateur ou un cheval de Troie. Pourtant, l’utilisation continue de la puissance de calcul du terminal de la victime pour le minage de cryptomonnaie a un impact significatif sur la productivité de l’utilisateur. En général, la victime observe un ralentissement majeur de la vitesse de traitement de son système, ce qui peut l’empêcher d’effectuer plusieurs tâches simultanément.

Comment se protéger des attaques de crypto-malware ?

Les attaques de crypto-malware sont un phénomène relativement récent. Cela, ajouté au fait qu’elles sont difficiles à détecter, rend leur neutralisation extrêmement compliquée. En général, un comportement en ligne responsable de l’utilisateur est la meilleure ligne de défense, notamment :

  • Ne jamais cliquer sur des liens non sollicités ou sur des pièces jointes qui ne sont pas attendues
  • Accéder uniquement aux URL commençant par HTTPS
  • Utiliser un filtre antispam pour empêcher la majorité des e-mails infectés d’être remis en boîte de réception
  • Investir dans un logiciel de cybersécurité capable de détecter de nombreuses menaces et même de les empêcher d’infecter le terminal
  • Activer l’authentification à deux facteurs chaque fois que possible pour compliquer la tâche des cyberattaquants qui tentent d’exploiter votre terminal

Les entreprises doivent mettre en place des mesures supplémentaires pour protéger leurs ressources commerciales, leurs clients, leurs employés et leur réputation contre tous les types de logiciels malveillants et variantes de ransomware, notamment :

  • S’assurer que les services distants, les VPN et les solutions d’authentification multifacteur (MFA) sont dotés des derniers correctifs, correctement configurés et bien intégrés
  • Combiner le Machine Learning à des algorithmes de détection des anomalies pour identifier les schémas associés aux attaques, tels que le ralentissement de la vitesse de traitement, afin d’améliorer le niveau de sécurité
  • Rechercher des signes d’activité malveillante impliquant des défaillances au niveau de DMARC (Domain-based Message Authentication Reporting and Conformance), DKIM (Domain Keys Identified Mail) et SPF (Sender Policy Framework)
  • Analyser les propriétés des messages reçus, notamment la propriété Attachment Detail, à la recherche de types de pièces jointes associées à des logiciels malveillants (comme HTA, EXE et PDF) et les envoyer directement pour analyse pour y repérer d’éventuels indicateurs supplémentaires de logiciels malveillants
  • Mettre en place un programme de formation robuste afin de sensibiliser les collaborateurs aux risques, aux indicateurs d’attaques par usurpation d’identité et aux autres techniques d’exploit ; utiliser des simulateurs d’attaque, chaque fois que possible, pour créer un environnement de formation réel