Un crypto-malware utilise des exploits de la N.S.A. pour se répandre sur les réseaux d’entreprise
dans

Un crypto-malware utilise des exploits de la N.S.A. pour se répandre sur les réseaux d’entreprise

Deux ans après le vol et la publication d’exploits hautement classifiées, développés par la National Security Agency, les pirates informatiques continuent de les utiliser pour des raisons bien particulières.

Les chercheurs en sécurité de Symantec ont récemment découvert un nouveau malware, baptisé Beapy, qui utilise les exploits de la NSA pour se propager comme une traînée de poudre sur les réseaux d’entreprise afin d’asservir les ordinateurs pour générer de la crypto-monnaie.

Beapy a été repéré pour la première fois en janvier, mais il a explosé avec plus de 12 000 infections uniques dans 732 organisations depuis mars, a déclaré Alan Neville, chercheur principal de Symantec sur Beapy, dans un courriel adressé à TechCrunch.

Le logiciel malveillant cible presque exclusivement des entreprises hébergeant un grand nombre d’ordinateurs et qui, lorsqu’il est infecté par un logiciel malveillant miné par crypto-monnaie, peuvent générer des sommes considérables.

Le logiciel malveillant repose sur une personne de l’entreprise qui ouvre un courrier électronique malveillant.

Une fois ouvert, le logiciel malveillant DoublePulsar développé par la NSA pour créer une porte dérobée persistante sur l’ordinateur infecté, et utilise l’exploit EternalBlue pour se répandre latéralement sur le réseau.

Ce sont les mêmes exploits qui ont contribué à propager le ransomware WannaCry en 2017.

Une fois que les ordinateurs du réseau comporte une porte dérobée, le programme malveillant Beapy est extrait du serveur de commande et de contrôle afin d’infecter chaque ordinateur avec le logiciel d’extraction.

Beapy utilise non seulement les exploits de la NSA pour se répandre, mais utilise également Mimikatz, pour collecter et utiliser les mots de passe d’ordinateurs infectés afin de se frayer un chemin à travers le réseau.

Selon les chercheurs, plus de 80% des infections de Beapy se produisent en Chine.

Le détournement d’ordinateurs à des fins de crypto-minage – connu sous le nom de cryptojacking – est en recul depuis quelques mois, en partie à la suite de la fermeture de Coinhive, un script JS de minage (Monero) très populaire.

Les pirates constatent que les avantages varient considérablement en fonction de la valeur de la crypto-monnaie. Mais le cryptojacking reste une source de revenus plus stable que les résultats aléatoires des ransomwares.

En septembre, quelque 919 000 ordinateurs étaient vulnérables aux attaques EternalBlue, dont beaucoup étaient exploitées pour l’extraction de crypto-monnaie.

Aujourd’hui, ce chiffre a dépassé le million.

Les cryptojackers exploitent généralement les vulnérabilités des sites Web qui, lorsqu’ils sont ouverts sur le navigateur d’un utilisateur, utilisent la puissance de traitement de l’ordinateur pour générer une crypto-monnaie.

Selon un chercheur de Symantec, l’extraction minière basée sur un poste physique peut générer jusqu’à 750 000 USD en un mois, contre 30 000 USD seulement pour une exploitation minière basée sur un navigateur.

Le cryptojacking peut sembler être un crime sans victime: aucune donnée n’est volée et les fichiers ne sont pas cryptés, mais Symantec affirme que les campagnes d’exploration de données peuvent ralentir les ordinateurs et entraîner la dégradation de l’appareil.

Écrit par Jeff

Wordpress Junkie - Security Enthusiast - Digital Strategy Consultant - Pizzas Lover.

La taille des attaques par DDoS chute de 85% au quatrième trimestre 2018

La taille des attaques par DDoS chute de 85% au quatrième trimestre 2018

Rogue Waves: Préparer Internet pour la prochaine attaque de méga DDoS

Rogue Waves: Préparer Internet pour la prochaine attaque de méga DDoS