Qu’est-ce que le cryptojacking ?

Comment fonctionne le cryptojacking ?

Le cryptojacking utilise des malwares ou des codes malveillants pour réquisitionner la puissance de traitement des appareils des victimes (ordinateurs portables, ordinateurs de bureau, smartphones, etc.) afin de les utiliser pour miner (extraire) de la cryptomonnaie.

Examinons le déroulement d’une attaque de cryptojacking.

1. Transmission/Infection : les hackers obtiennent le plus souvent un code de cryptomining s’exécutant sur l’appareil d’une victime, par le biais d’escroqueries d’ingénierie sociale telles que le phishing, de pages Web malveillantes, etc. Les sites Web et les services cloud compromis par un code de cryptomining peuvent drainer silencieusement la puissance de calcul des utilisateurs tant qu’ils restent connectés.
2. Exécution : les scripts de cryptomining s’exécutent sur un appareil compromis, en utilisant son processeur ou son processeur graphique pour résoudre des énigmes cryptographiques complexes. L’appareil fait souvent partie d’un botnet qui combine la puissance de calcul de nombreux terminaux infectés pour donner au mineur (l’acteur malveillant responsable du minage) un avantage dans la course à la blockchain.
3. Bénéfice : le mineur dont les efforts de calcul (légitimes ou non) ont permis de résoudre l’énigme cryptographique en premier reçoit la « récompense de bloc », une quantité de cryptomonnaie envoyée à son portefeuille numérique. Les victimes du cryptojacking, quant à elles, ne reçoivent aucune récompense et finissent par payer indirectement.

Contrairement aux ransomwares, qui se signalent comme une étape clé de l’attaque, les logiciels de cryptojacking fonctionnent le plus discrètement possible afin d’augmenter la durée de vie et la rentabilité de l’attaque. Ils peuvent utiliser des techniques de chiffrement et d’anti-analyse pour échapper aux solutions de détection des cybermenaces de base, limiter ou mettre en pause leur utilisation du processeur en fonction de l’activité de l’utilisateur, et bien d’autres choses encore pour éviter d’éveiller les soupçons.

Quelles sont les sources des malwares de cryptojacking ?

Les malwares de cryptojacking ressemblent beaucoup aux autres types de malwares pour ce qui est de l’endroit où ils se dissimulent. La plupart du temps, ils sont associés aux éléments suivants :

•  Sites Web, plug-ins ou extensions de navigateur compromis injectés avec du code malveillant
• Minage basé sur un navigateur ou minage « drive-by » (furtif) sur des sites Web qui ne sont pas intrinsèquement malveillants
• Téléchargements malveillants déguisés en logiciels inoffensifs, en particulier les applications gratuites ou les torrents
• E-mails de phishing contenant des pièces jointes infectées ou menant à des sites Web malveillants
• Publicités malveillantes contenant des scripts de cryptojacking qui s’exécutent lorsque l’utilisateur clique sur la publicité ou qu’il la consulte

Quelle sont les implications des malwares de cryptojacking pour votre entreprise ?

Au niveau de l’entreprise, le coût quotidien du cryptojacking peut ne pas faire sourciller. Cependant, il peut rapidement s’élever à des centaines, voire des milliers de dollars par mois, sans parler d’autres conséquences potentielles :

• Dégradation des performances du système, ce qui peut frustrer et ralentir vos utilisateurs et avoir un impact sur leur productivité
• Augmentation des factures et de la consommation d’énergie, ce qui peut nuire à vos résultats et aller à l’encontre des objectifs environnementaux
• Endommagement du matériel informatique, ce qui peut entraîner des coûts imprévus de maintenance et de remplacement

Exemples concrets de cryptojacking

Malgré les risques, aucune attaque de cryptojacking n’a atteint la notoriété mondiale des attaques de la chaîne d’approvisionnement et des ransomwares tels que WannaCry ou l’attaque contre SolarWinds. Contrairement à ces attaques, c’est le mode de fonctionnement discret du cryptojacking qui le rend dangereux. Examinons quelques exemples.

Botnet Smominru
Depuis 2017, Smominru a infecté des centaines de milliers de systèmes Microsoft Windows dans le monde entier pour miner de la cryptomonnaie Monero. Il se propage en utilisant les identifiants RDP par force brute et en exploitant les vulnérabilités logicielles, et peut même exécuter des ransomwares, des chevaux de Troie et plus encore sur les systèmes compromis.

The Pirate Bay
En 2018, il s’est avéré que le site de partage de fichiers P2P, The Pirate Bay, exécutait un code JavaScript créé par le service de cryptomining Coinhive, aujourd’hui disparu. Le script de cryptojacking s’exécutait sans le consentement des utilisateurs, et sans aucun moyen de s’y soustraire, pendant qu’ils naviguaient sur le site, utilisant leur puissance de calcul pour miner de la cryptomonnaie Monero.

Graboid
Découvert pour la première fois en 2019, Graboid est un ver qui exploite des conteneurs Docker non sécurisés (c’est-à-dire exposés à Internet). Il se propage à partir d’hôtes compromis vers d’autres conteneurs dans leurs réseaux, où il détourne les ressources de ses systèmes infectés pour miner de la cryptomonnaie Monero.

Bibliothèques d’images Open Source
À partir de 2021 environ, les chercheurs ont constaté un pic du nombre d’images de cryptojacking dans les référentiels Open Source tels que Docker Hub. Fin 2022, la caractéristique la plus courante des images malveillantes était le code de cryptojacking (Google Cloud Cybersecurity Action Team, 2023).

Signes indiquant que vous pourriez être victime de cryptojacking

Les attaques de cryptojacking restent discrètes pour prolonger leur utilisation non autorisée de votre système. Toutefois, si vous savez quoi chercher, vous pourriez être en mesure d’identifier leurs activités avant que le coût, pour vous ou votre entreprise, ne devienne trop élevé. Au cours des opérations de minage ou d’extraction, vous pourriez remarquer les anomalies suivantes :

• Problèmes de performances tels que des ralentissements, des blocages, des plantages ou des températures de fonctionnement plus élevées
• Utilisation élevée de l’unité centrale ou de l’unité de traitement graphique, même si peu de processus sont en cours (vérifiez le gestionnaire des tâches de Windows ou le moniteur d’activité de macOS)
• Consommation d’énergie élevée ou en dents de scie sans cause légitime apparente
• Trafic réseau inhabituel tel que des communications sortantes fréquentes ou des transferts de données volumineux vers des sites inconnus
• Processus inconnus ou suspects se cachant parmi les processus d’arrière-plan légitimes d’un système

Comment détecter et prévenir le cryptojacking ?

Au-delà des signes annonciateurs courants, vous pouvez mettre en place des technologies et des stratégies simples pour empêcher que des attaques de cryptojacking ne s’installent dans votre environnement, ou pour les arrêter avant même qu’elles ne se développent.

• Formez les utilisateurs et les équipes pour qu’ils reconnaissent les signes avant-coureurs. Les utilisateurs peuvent négliger de signaler des problèmes tels que des performances médiocres s’ils ne comprennent pas ce que cela peut signifier. Pour le personnel des services informatiques, du service d’assistance et de NetOps, les preuves de processus d’extractions non autorisés sont un élément important à prendre en compte lors des enquêtes et des réponses aux signalements.
• Trouvez des preuves cachées grâce à une recherche proactive des menaces. Les signes les plus évidents d’une activité de cryptojacking peuvent ne pas se manifester là où vos utilisateurs peuvent les voir. Un personnel de sécurité qualifié ou des chasseurs de menaces dédiés peuvent s’efforcer à identifier et enquêter sur les anomalies comportementales et autres indicateurs subtils d’une compromission par cryptojacking.
• Utilisez des outils efficaces pour surveiller et bloquer le trafic de cryptomining. La meilleure façon de neutraliser le cryptojacking est d’empêcher qu’il ne commence. Pour ce faire, vous avez besoin d’une solution qui garantit que chaque paquet provenant de chaque utilisateur, sur le réseau ou hors réseau, est inspecté du début à la fin, avec une capacité illimitée d’inspection du trafic TLS/SSL. Zscaler peut vous aider.

Protection Zscaler contre le cryptojacking

Zscaler Internet Access™ (ZIA™), un composant essentiel de la plateforme Zscaler Zero Trust Exchange cloud native, offre une protection permanente contre le cryptojacking, ainsi que contre les ransomwares, les menaces de type « zero-day » et les malwares inconnus, dans le cadre de sa suite de protection contre les menaces avancées optimisée par l’IA.

Une politique prédéfinie dans ZIA, active dès le moment du déploiement, vous permet de bloquer automatiquement le trafic de cryptomining et de générer des alertes facultatives. ZIA peut détecter le trafic de cryptomining lorsqu’il passe par Zero Trust Exchange, même s’il est chiffré.

ZIA propose les avantages suivants :

• Prévention complète inline : l’architecture proxy inline constitue le seul moyen fiable de mettre en quarantaine et de bloquer les contenus suspects et les attaques à l’échelle de l’entreprise.
• Sandboxing inline et AA : Zscaler Sandbox utilise l’AA intégrée pour une analyse avancée afin de neutraliser rapidement les nouvelles attaques furtives basées sur des fichiers.
• Inspection SSL permanente : distribuée par le biais d’une plateforme mondiale, l’inspection SSL illimitée vous permet de suivre vos utilisateurs sur le réseau et en dehors de celui-ci.
• Effet cloud Zscaler : nous exploitons les données sur les menaces du plus grand cloud de sécurité au monde, qui traite plus de 300 milliards de transactions par jour et des dizaines de flux de menaces externes, ce qui nous permet de partager des mesures de protection contre les menaces dans le monde entier en temps réel.