Dans les coulisses des campagnes de phishing modernes de 2019

L’actualité du monde de la cybersécurité est dominée par des gros titres sur les logiciels malveillants, les ransomwares, les atteintes aux données, les vulnérabilités d’applications, les menaces IdO, ou encore les attaques par réseaux de zombies. Mais le phishing est une menace sérieuse depuis le début des années 2000 et est généralement considéré comme le vecteur d’attaque le plus courant pour les cybercriminels.

Aujourd’hui, le phishing n’est plus une question de volume. Ces menaces véhiculées par e-mail sont désormais affinées pour réussir à piéger une cible de grande valeur afin de l’inciter à réaliser une action particulière : cliquer sur un lien malveillant, ouvrir un fichier contenant des logiciels malveillants, fournir un mot de passe, ou autoriser des transactions financières.

Dans la course actuelle au cyberarmement, les acteurs des menaces essaient constamment de contourner les systèmes de sécurité. Dans le contexte de l’e-mail comme vecteur de menace, le phishing a évolué en différents types d’attaques : spear-phishing, usurpation d’identités ou encore attaque par piratage de la messagerie en entreprise (BEC). Ces messages sont hautement ciblés et font l’objet d’importants efforts d’ingénierie sociale pour sélectionner et étudier soigneusement la victime.

Le volume global du phishing est en baisse, mais les attaques sont nettement plus ciblées

Dans le Rapport 2019 sur les cybermenaces de SonicWall, nos spécialistes en menaces des Capture Labs ont enregistré 26 millions d’attaques par phishing dans le monde, soit une baisse de 4,1 % par rapport à 2017. Au cours de cette période, le client moyen de SonicWall a été confronté à 5 488 attaques par phishing.

Volume mondial des attaques par phishing en 2018

Alors que les entreprises s’efforcent de bloquer les attaques par e-mail et de s’assurer que les employés peuvent repérer et supprimer les e-mails suspects, les pirates informatiques changent de tactiques. De nouvelles données suggèrent qu’ils réduisent le volume global des attaques et lancent des attaques par phishing hautement ciblées (p. ex. des attaques lors du Black Friday et du Cyber Monday).

Découvrez les cinq tactiques courantes que les pirates informatiques utilisent pour dérober des identifiants, déployer des logiciels malveillants, infiltrer des réseaux, et nuire aux marques.

  1. URL malveillantes et sites Web faux ou usurpés
    Suite aux améliorations des solutions de messagerie électronique sécurisées qui atténuent le phishing, les cybercriminels ont maintenant recours à des méthodes innovantes pour exécuter des attaques ciblées, comme l’utilisation d’URL comme arme dans les e-mails pour fournir des charges utiles malveillantes, ou la création de sites Web de phishing avec de fausses pages de connexion pour recueillir les identifiants de connexion des utilisateurs. Fin 2017, il a été rapporté que 1,5 million de sites de phishing sont créés chaque mois. Et la détection des sites de phishing est devenue plus difficile parce que les pirates informatiques masquent les URL de phishing avec de multiples redirections et des URL raccourcies.
     
    De plus, environ la moitié de ces sites de phishing utilisent des certificats HTTPS et SSL, ce qui permet aux cybercriminels de tromper plus facilement leurs victimes.
     
    Source: « PhishPoint: New SharePoint Phishing Attack Affects an Estimated 10% of Office 365 Users, » Avanan, août 2018.
     
    Selon le rapport de renseignements de sécurité de Microsoft, « les pirates informatiques utilisent de plus en plus de sites et services populaires de partage de documents et de collaboration pour distribuer des charges utiles malveillantes et de faux formulaires de connexion qui sont utilisés pour dérober des identifiants utilisateur. »
  2. Phishing ciblant les utilisateurs des applications Office 365

     
    Les services SaaS et de messagerie Web sont de plus en plus ciblés par les campagnes de phishing. Selon le groupe de travail anti-phishing (APWG), le phishing ciblant les services SaaS et de messagerie Web a doublé au cours du quatrième trimestre 2018. Office 365 étant la plate-forme de messagerie cloud la plus populaire dans les organisations de toutes tailles et de tous les secteurs verticaux, il n’est pas surprenant que Microsoft soit la marque faisant le plus l’objet d’usurpations.
     
    « À mesure que la part de marché SEG (passerelles sécurisées de messagerie électronique) de Microsoft augmente, les pirates futés cibleront spécifiquement les défenses de Microsoft », signale Gartner.
     
    Ceci n’est pas inconcevable car toute personne munie d’une carte de crédit peut avoir un abonnement Office 365, ce qui rend les fonctionnalités de sécurité de cette personne tout à fait accessibles aux cybercriminels. Cela permet en théorie aux groupes criminels de concevoir des campagnes de phishing qui peuvent échapper aux défenses d’origine de Microsoft. En fait, dans un autre rapport, les chercheurs ont découvert que 25 % des e-mails de phishing contournent la sécurité d’Office 365.

  3. Identifiants de connexion compromis
    En janvier 2019, le chercheur en sécurité Troy Hunt a découvert « Collection 1 », une mine de 773 millions d’adresses e-mail et 21 millions de mots de passe à vendre sur un forum de pirates informatiques. Ces combinaisons d’identifiants utilisateur et de mots de passe compromis sont utilisées pour lancer des attaques depuis l’intérieur. Une attaque courante consiste en un piratage de compte impliquant des acteurs de menace qui compromettent les identifiants professionnels des employés soit en lançant une campagne de phishing sur les identifiants de connexion contre une organisation soit en achetant des données de connexion récupérées après des fuites de données sur le Darkweb. L’acteur de la menace peut alors utiliser les identifiants volés pour obtenir un accès ou des privilèges supplémentaires. Les atteintes aux identifiants de connexion peuvent ne pas être découvertes pendant des mois, voire des années.
  4. Usurpation d’identité, arnaque au président, et attaque par piratage de la messagerie en entreprise (BEC)
    Selon le FBI, les attaques par piratage de la messagerie en entreprise (BEC) sont une escroquerie visant les entreprises qui travaillent avec des fournisseurs étrangers et/ou les entreprises effectuant régulièrement des paiements par virement électronique. Ces arnaques sophistiquées sont perpétrées par des fraudeurs compromettant des comptes de messagerie par le biais d’ingénierie sociale ou de techniques d’intrusion sur ordinateur pour effectuer des transferts de fonds non autorisés. Les attaques de ce type sont difficiles à stopper car elles ne contiennent pas de liens ou de pièces jointes malveillants, mais consistent en un message à la victime qui semble provenir d’un expéditeur de confiance demandant un transfert de fonds.
     
    Le FBI Internet Complaint Center (IC3) a signalé l’été dernier qu’entre octobre 2013 et mai 2018, les pertes totales au niveau mondial pour les arnaques de type BEC connues ont atteint 12,5 milliards de dollars.
  5. Fichiers PDF et documents Office malveillants en pièces jointes
    Les pièces jointes aux e-mails sont un mécanisme d’envoi populaire pour les charges utiles malveillantes, comme les ransomwares et les programmes malveillants inédits. Les spécialistes en menaces des Capture Labs de SonicWall ont récemment mis en lumière une augmentation importante de fichiers PDF malveillants ou frauduleux. Ces campagnes frauduleuses profitent de la confiance que les destinataires accordent aux fichiers PDF qu’ils considèrent comme étant « sûrs » et qui sont fréquemment utilisés dans les opérations commerciales. Je recommande la lecture de « New PDF Fraud Campaign Spotlights Shifting Cybercriminal Phishing Tactics », écrit par Dmitriy Ayrapetov, directeur exécutif de la gestion de produits, pour en savoir plus sur ces types de campagnes de phishing et sur la manière de les arrêter.

Vulnérabilité Dragonblood : votre Wi-Fi est-il sécurisé ?

Game of Thrones est dans l’air du temps ! Et tout ce qui a trait aux dragons me rappelle GoT. La vulnérabilité Dragonblood a récemment mis en évidence la faible sécurité du protocole WPA3. Il y a tout juste un an, KRACK exposait les faiblesses du protocole WPA2. En réponse, un successeur plus fort de WPA2 avait été annoncé par la Wi-Fi Alliance : WPA3.

Mais était-il vraiment aussi fort qu’annoncé ? Il semblerait que non.

Le WPA3 intégrait le protocole de poignée de main appelé « authentification simultanée des égaux » (pour Simultaneous Authentication of Equals, ou SAE), ce qui représentait une amélioration de taille par rapport au WPA2 car il prévenait les attaques par dictionnaire. Ces mesures de sécurité par poignée de main SAE sont communément appelées Dragonfly. Cette poignée de main est sensible aux attaques par partitionnement de mots de passe, qui ressemblent à des attaques par dictionnaire et exploitent des fuites par canal auxiliaire pour récupérer les mots de passe du réseau.

Selon les chercheurs Vanhoef et Ronen, à l’origine du rapport sur cette vulnérabilité, le WPA3 est affecté par de graves défauts de conception qui auraient pu être évités par des retours d’experts de l’industrie sur le Wi-Fi sécurisé. Parmi ces défauts figure le fait que le WPA3 n’a pas introduit de nouveaux protocoles, mais seulement des instructions sur les protocoles existants qui devraient être pris en charge.

Profil du protocole WPA3

Le WPA3 a apporté des améliorations par rapport au WPA2 en utilisant les méthodes de sécurité les plus récentes, en interdisant les protocoles existants obsolètes et en mettant en œuvre l’utilisation de la fonctionnalité PMF (Protected Management Frames). Il a été conçu en pensant à deux types de réseaux : la protection des réseaux domestiques avec WPA3-Personal et celle des réseaux d’entreprise avec WPA3-Enterprise.

WPA3-Personal offre une protection accrue des mots de passe du réseau tandis que WPA3-Enterprise offre des protocoles de sécurité plus élevés pour les réseaux d’entreprise. Dans les réseaux WPA3-Personal, la poignée de main SAE remplace la clé pré-partagée (Pre-Shared Key, PSK) dans les réseaux WPA2-Personal. Le WPA3 bénéficie de la sélection naturelle des mots de passe, d’une facilité d’utilisation et de la confidentialité persistante.

Qu’est-ce que la poignée de main Dragonfly ?

WPA3-Personal demande la prise en charge des poignées de main SAE, qui est un échange de clés d’authentification de mot de passe symétrique où deux terminaux (PA et PA, ou PA et client) stockent les mots de passe en clair. L’entrée de la poignée de main SAE est un secret pré-partagé et la sortie est une clé PMK (Pairwise Master Key) à entropie élevée. Après cette exécution, une poignée de main en quatre étapes a lieu pour générer une clé PTK (Pairwise Transient Key).

Les 6 façons dont Dragonblood affecte votre réseau sans fil

  1. Attaque par déni de service (DoS). Le mécanisme anti-engorgement du WPA3 censé prévenir les attaques DoS n’est pas efficace. Cela a pour effet de passer outre les points d’accès et de provoquer une perturbation de vos réseaux.
  2. Attaque par repli (downgrade attack). Le mode de transition du WPA3 est sensible aux attaques par dictionnaire. Dans ce mode, un point d’accès compatible WPA3 peut accepter des connexions depuis des appareils clients WPA2 et WPA3. Si un attaquant utilise une attaque de type l’homme du milieu pour modifier les balises d’un point d’accès compatible WPA3 afin de tromper le client en lui faisant croire qu’il s’agit d’un point d’accès WPA2, pendant la poignée de main en quatre étapes WPA2, le client détecte l’anomalie et annule la transmission. Cependant, un nombre suffisant de trames est envoyé pendant la poignée de main pour que l’assaillant puisse mettre en place une attaque par dictionnaire. En outre, les chercheurs ont également découvert des « attaques par repli (downgrade attack) spécifiques à la mise en œuvre lorsqu’un client se connecte automatiquement de manière inappropriée à un réseau WPA3 préalablement utilisé ».
  3. Attaque de la négociation des groupes du protocole SAE. Les appareils clients peuvent hiérarchiser les groupes dans une poignée de main SAE conformément aux spécifications 802.11. Avec SAE, lorsqu’un client se connecte à un point d’accès, il inclut le groupe souhaité dans la trame « commit » et ce processus se poursuit. « Malheureusement, il n’existe aucun mécanisme qui détecte si quelqu’un a interféré dans ce processus. Il est donc insignifiant de forcer le client à utiliser un groupe différent : créez simplement une trame « commit » qui indique que le PA ne prend pas en charge le groupe actuellement sélectionné. » Cela entraîne une attaque par repli. Cette méthode peut également être utilisée pour effectuer des attaques par mise à niveau (upgrade attack).
  4. Attaques temporelles par canal auxiliaire. La poignée de main SAE est sensible aux attaques synchronisées qui divulguent des informations sur les mots de passe, lesquelles pourraient être ensuite utilisées dans le cadre d’attaques par partitionnement de mot de passe entraînant la récupération du mot de passe de la victime.
  5. Attaques par canal auxiliaire caché. Le SAE est également exposé à des vulnérabilités dans la mise en œuvre de ses algorithmes, qui pourraient être exploitées dans des attaques par partitionnement de mots de passe entraînant la récupération du mot de passe de la victime.
  6. EAP-PWD. Cela affecte le protocole d’authentification extensible (EAP) pris en charge par les normes WPA2 et WPA. Les chercheurs ont également « découvert de graves bugs dans la plupart des produits qui mettent en œuvre l’EAP-pwd. Ceux-ci permettent à un adversaire de se faire passer pour n’importe quel utilisateur, et d’accéder ainsi au réseau Wi-Fi, sans connaître le mot de passe de l’utilisateur. »

Comment se protéger contre Dragonblood

La vulnérabilité Dragonblood peut être corrigée par des correctifs logiciels. Tandis que la Wi-Fi Alliance communique des directives aux fournisseurs, assurez-vous que votre réseau est toujours protégé par des correctifs issus des dernières mises à jour de sécurité des fabricants d’appareils sans fil. En outre, utilisez des mots de passe forts sur vos réseaux.

La vulnérabilité Dragonblood affecte-t-elle les points d’accès sans fil de SonicWave ?

Non. Cette vulnérabilité n’affecte pas les points d’accès sans fil de SonicWall. Les points d’accès SonicWave offrent une sécurité sans fil supérieure et une troisième radio dédiée à l’analyse de sécurité. Les services de sécurité avancés, tels que la technologie sandbox Capture Advanced Threat Protection (ATP) et le service de filtrage de contenu (CFS), peuvent être mis en œuvre par les PA, même lorsqu’ils ne sont pas connectés aux pare-feu. Cela vous donne la flexibilité nécessaire pour gérer la technologie sans fil depuis le cloud ou via les pare-feu, sans compromettre la sécurité.

Les ports non standard sont la cible de cyberattaques

Si vous aimez regarder des films de super-héros, vous avez sûrement déjà entendu les personnages parler à un moment donné de la protection de leur identité par l’anonymat. À l’exception d’Iron Man, la dissimulation de leur véritable identité fournit aux super-héros une forme de protection. À cet égard, la sécurité réseau est similaire.

L’expression « la sécurité par l’obscurité » reçoit autant de louanges que de critiques. Si vous conduisez votre véhicule dans des petites rues plutôt que sur l’autoroute pour éviter des accidents potentiels, êtes-vous davantage protégé(e) ? Pouvez-vous vous rendre à votre destination aussi efficacement ? C’est possible, mais cela ne signifie pas pour autant que vous échapperez à tout jamais aux accidents.

La différence entre les ports standard et non standard

Les ports des pare-feu sont attribués par l’Internet Assigned Numbers Authority (IANA) à des fins particulières ou pour livrer des services spécifiques.

Alors que l’on compte plus de 40 000 ports enregistrés, seule une poignée est couramment utilisée. Il s’agit des ports « standard ». Par exemple, HTTP (pages Internet) utilise le port 80, HTTPS (sites Internet qui utilisent un chiffrement) utilise le port 443 et SMTP (messagerie électronique) utilise le port 25.

Les pare-feu configurés pour écouter sur ces ports sont disponibles pour recevoir du trafic. Les cybercriminels le savent également, aussi la plupart de leurs attaques ciblent les ports couramment utilisés. Bien sûr, les entreprises renforcent généralement ces ports contre les menaces.

En réponse au déferlement d’attaques ciblant les ports standard, certaines entreprises se sont tournées vers l’utilisation de ports « non standard » pour leurs services. Un port non standard est un port qui est utilisé pour un but autre que son attribution par défaut. L’utilisation du port 8080 au lieu du port 80 pour le trafic Web en est un exemple.

Il s’agit de la stratégie de la « sécurité par l’obscurité ». Même si cela peut perturber un temps les cybercriminels, ce n’est pas une solution de sécurité à long terme. Cela peut également compliquer la connexion au serveur Web pour les utilisateurs car leur navigateur est pré-configuré pour utiliser le port 80.

Attaques sur des ports non standard

D’après les données du rapport 2019 sur les cybermenaces de SonicWall, le nombre d’attaques dirigées vers des ports non standard a augmenté. En 2017, SonicWall a découvert que plus de 17,7 % des attaques par programmes malveillants étaient passées par des ports non standard.

En comparaison, ce nombre était de 19,2 % en 2018, soit une augmentation de 8,7 %. Rien qu’en décembre 2018, on dénombrait un nombre encore plus élevé culminant à 23 %.

Comment protéger des ports non standard ?

La meilleure défense contre les cyberattaques ciblant les services sur les ports standard et non standard est d’avoir une stratégie de sécurité multicouche.

L’utilisation de la « sécurité par l’obscurité » constitue une seule couche. Le fait de s’y fier excessivement, cependant, ne fournit pas le niveau de sécurité dont vous avez besoin. Cela peut contribuer à la protection contre l’analyse des ports, mais n’empêchera pas les cyberattaques qui sont plus ciblées.

Vous souhaiterez sûrement prendre des mesures supplémentaires, comme modifier fréquemment vos mots de passe, utiliser l’authentification multifacteur et appliquer des correctifs et des mises à jour. Et vous souhaiterez peut-être utiliser un pare-feu qui peut analyser des artefacts spécifiques plutôt que l’ensemble du trafic (c.-à-d. approche basée sur les proxys).

L’apocalypse du cryptojacking : comment vaincre les Quatre Cavaliers du cryptominage

Malgré les fluctuations de prix des bitcoins et des autres cryptomonnaies, le cryptojacking reste une menace réelle, et souvent dissimulée, pour les entreprises, les PME et les consommateurs de tous les jours.

Et la plus secrète de ces menaces est le cryptominage via le navigateur, où des formes populaires de programmes malveillants essaient de transformer votre appareil en un robot de minage de cryptomonnaie à temps plein appelé cryptojacker.

Pour vous aider à comprendre de manière créative cette tendance, laissez-moi faire appel à mes classiques et mettre en scène une allégorie. Si vous imaginez la vague de cryptojacking comme une apocalypse, comme le font certaines victimes, les Quatre Cavaliers seraient les quatre menaces pesant sur vos terminaux ou votre entreprise :

  • Le cheval blanc : L’énergie qu’il consomme ou gaspille
  • Le cheval rouge : La perte de productivité due à ses ressources limitées
  • Le cheval noir : Les dommages qu’il peut faire à un système
  • Le cheval pâle : Les implications pour la sécurité dues aux vulnérabilités créées

Contrairement aux ransomwares qui veulent être trouvés (pour exiger un paiement), le travail d’un cryptojacker est de s’exécuter en arrière-plan sans se faire voir (même si le graphique des performances de votre processeur ou le ventilateur de votre appareil indique qu’il y a quelque chose d’anormal).

Les auteurs de ransomwares ont changé leurs méthodes ces deux dernières années et ont désormais davantage recours au cryptojacking, car l’efficacité de la pression d’un ransomware et le retour sur investissement diminuent dès qu’il fait son apparition sur les flux publics, comme VirusTotal.

À l’instar d’un gérant d’une entreprise très rentable, les cybercriminels doivent constamment trouver de nouvelles manières d’atteindre leurs objectifs financiers. C’est là qu’entre en scène le cryptojacking.

En avril 2018, SonicWall a commencé à suivre les tendances de cryptojacking, à savoir l’utilisation de Coinhive dans les logiciels malveillants. Au cours de l’année, nous avons observé les variations du cryptojacking. À ce moment-là, SonicWall a enregistré près de 60 millions d’attaques de cryptojacking, avec pas moins de 13,1 millions en septembre 2018. Comme publié dans le Rapport 2019 sur les cybermenaces de SonicWall, le volume a chuté dans le dernier trimestre 2018.

Attaques internationales de cryptojacking | Avril à septembre 2018

L’attrait du cryptominage

Les opérations de cryptominage sont de plus en plus populaires, consommant désormais près de la moitié d’un pourcentage de la consommation d’électricité dans le monde. Malgré les fortes variations de prix, la consommation d’énergie représente près de 60 % du coût du minage légitime du bitcoin. En fait, au moment où j’écris cet article, le prix d’un bitcoin vaut moins que le coût de son minage légitime.

Étant donné ces coûts et le risque zéro par rapport à l’achat et l’entretien d’équipement, les cybercriminels ont compris qu’ils avaient tout intérêt à générer une cryptomonnaie avec les ressources de quelqu’un d’autre. Le fait d’infecter 10 machines avec un robot de cryptominage pourrait rapporter 100 $/jour net ; reste alors pour les cryptojackers à procéder en trois points :

  1. Trouver des cibles, c’est-à-dire des organisations avec beaucoup d’appareils sur le même réseau, surtout des écoles ou des universités.
  2. Infecter autant de machines que possible.
  3. Rester cachés le plus longtemps possible (à l’instar des logiciels malveillants traditionnels, mais contrairement aux ransomwares).

Les cryptojackers utilisent des techniques similaires à celles des programmes malveillants pour atteindre un terminal : des téléchargements à la dérobée (drive-by downloads), des campagnes de phishing, des vulnérabilités au sein des navigateurs et des plugins des navigateurs, pour n’en nommer que certaines. Et bien sûr, ils comptent sur le maillon le plus faible, à savoir l’homme, via des techniques d’ingénierie sociale.

Suis-je infecté(e) par des cryptomineurs ?

Les cryptomineurs sont intéressés par votre puissance de traitement et les cryptojackers doivent faire preuve de discrétion pour engranger des profits. La quantité de ressources de votre processeur qu’ils prennent dépend de leurs objectifs.

S’ils prennent moins de puissance, il est plus difficile pour les utilisateurs non suspicieux de les remarquer. Au contraire, s’ils volent plus, ils augmentent leurs profits. Dans les deux cas, il y aura un impact sur la performance, mais si le seuil est suffisamment faible, il peut être difficile de distinguer un mineur d’un logiciel légitime.

Les administrateurs d’entreprise peuvent chercher des processus inconnus dans leur environnement et les utilisateurs finaux de Windows peuvent utiliser Process Explorer de Sysinternals pour voir les logiciels en cours d’exécution. Pour la même raison, les utilisateurs de Linux et de macOS doivent enquêter en utilisant respectivement « System Monitor » et « Activity Monitor ».

Comment se défendre contre des cryptomineurs

La première étape pour se défendre contre des cryptomineurs est d’arrêter ce type de programmes malveillants à la passerelle, que ce soit par les pare-feu ou la sécurité de la messagerie (sécurité du périmètre), qui est l’une des meilleures méthodes pour se débarrasser de menaces connues sur fichiers.

Comme en général, tout le monde aime réutiliser un ancien code, attraper des cryptojackers comme Coinhive constituait aussi une première étape simple. Mais en février 2019, Coinhive a publiquement annoncé qu’ils arrêtaient leurs opérations le 8 mars. Le service a indiqué qu’il n’était « plus économiquement viable » et que la « faillite » a eu un impact très important sur l’entreprise.

Malgré cette annonce, SonicWall prédit une hausse des nouvelles variantes et techniques de cryptojacking pour remplir ce vide. Le cryptojacking peut tout de même devenir une méthode préférée des acteurs malveillants à cause de sa dissimulation ; les dommages peu importants et indirects aux victimes réduisent les risques d’exposition et prolongent la durée de vie précieuse d’une attaque réussie.

Si la souche du programme malveillant est inconnue (nouvelle ou mise à jour), alors il contournera les filtres statiques dans la sécurité du périmètre. Si un fichier est inconnu, il sera acheminé vers un sandbox pour inspecter la nature du fichier.

L’environnement de la technologie sandbox multimoteur Capture Advanced Threat Protection (ATP) de SonicWall est conçu pour identifier et arrêter les programmes malveillants évasifs susceptibles d’échapper à un moteur, mais pas aux autres.

Si vous avez un terminal qui ne se trouve pas derrière cette configuration typique (par ex., terminal itinérant dans un aéroport ou un hôtel), vous devez déployer un produit de sécurité des terminaux comprenant une détection comportementale.

Les cryptomineurs peuvent agir dans le navigateur ou accéder via une attaque sans fichier, aussi les solutions traditionnelles dont vous disposez gratuitement avec un ordinateur ne les détectent pas.

Un antivirus comportemental comme SonicWall Capture Client détecterait que le système cherche à miner des « coins » puis couperait son exécution. Un administrateur peut facilement mettre en quarantaine et supprimer le programme malveillant ou, en cas de dommages aux fichiers système, restaurer le système au dernier état sain connu avant l’exécution du programme malveillant.

En combinant un mélange de défenses de périmètre et d’analyse comportementale, les organisations peuvent lutter contre les toutes nouvelles formes de programmes malveillants, quelle que soit la tendance ou l’intention.