Comment savoir si le cryptojacking nuit à votre activité ? Apprenez à déceler les infections et à déployer des solutions pour protéger votre réseau et vos terminaux.

D’abord la bonne nouvelle : la cryptomonnaie est une valeur sûre de la finance mondiale. Très mobile, elle est stable, s’échange pour des produits et des services et gagne en popularité auprès du grand public.

Il peut également s’agir d’un outil d’investissement très lucratif pour les plus audacieux. Bien sûr, des fortunes se gagnent et se perdent en un clin d’œil, car beaucoup des cryptomonnaies émises (bitcoin, ether ou cardano, par ex.) sont extrêmement volatiles, avec des valeurs pouvant parfois atteindre d’un coup des sommets astronomiques, avant de rechuter au plus bas en quelques jours ou semaines. Cependant, il existe d’autres moyens moins casse-cou de s’enrichir grâce aux cryptomonnaies. L’un deux se nomme le « cryptominage ».

Qu’est-ce que le cryptominage ? Explication

Le cryptominage est un processus consistant à valider des transactions en cryptomonnaie dans des registres publics distribués. Chaque transaction est reliée à la précédente et à la suivante, créant ainsi une chaîne d’enregistrements horodatés. C’est ce qui constitue ce qu’on appelle une « blockchain ».

L’un des avantages du cryptominage, c’est que n’importe qui peut participer sans investir dans la monnaie. Par exemple, si vous minez des bitcoins, vous recevez des bitcoins en rémunération pour avoir réalisé des blocs de transactions vérifiées ajoutés à la blockchain. Il faut environ dix minutes pour traiter un bloc de monnaie.

Tout ce qu’il vous faut, ce sont quelques connaissances sur la manière de vous connecter au réseau de la cryptomonnaie, une connexion fiable à Internet, un ou deux serveurs décents et une alimentation électrique solide. Plus vous pouvez mobiliser de puissance de serveur pour votre opération de cryptominage (légitime), plus vous pouvez traiter de blocs et plus vous récoltez d’argent.

Mais, et c’est au tour de la mauvaise nouvelle, il y a un hic. Les mineurs ne gagnent de l’argent que lorsqu’ils ont achevé le traitement des données plus vite que d’autres. Or ils sont des centaines à essayer de traiter le même bloc simultanément. Les mineurs cherchent donc constamment à accroître leur « hashrate », ou taux de hashage (mesure de la puissance de calcul d’un ordinateur pour traiter des blocs). Plus le nombre de calculs produits chaque seconde est élevé, plus vous gagnez d’argent.

Certaines personnes contournent entièrement le processus légitime et se tournent vers le « cryptojacking ».

Pourquoi le cryptojacking constitue une menace montante.

C’est très simple : le cryptojacking n’est rien d’autre que du cryptominage, mais où l’on utilise l’ordinateur que quelqu’un d’autre sans sa permission. Généralement, les victimes n’ont aucune idée de ce genre d’abus, souvent le fruit d’un logiciel malveillant introduit par une attaque de phishing ou autre piratage.

SonicWall a commencé à suivre les tendances du cryptojacking en avril 2018. À cette époque, l’entreprise avait enregistré près de 60 millions d’attaques de cryptojacking en une seule année. Mais, comme il est décrit dans le Rapport SonicWall 2022 sur les cybermenaces, les prix des cryptomonnaies ont atteint de nouveaux records en 2021, et avec eux, les actes de piratage ont explosé, à 97 millions, soit une augmentation de près de 62 % depuis 2018.

À la différence des ransomwares, qui dépendent de la visibilité des messages de phishing, les cryptojackers œuvrent à l’arrière-plan, totalement invisibles. Le seul moyen de déceler que votre réseau ou vos appareils sont touchés, c’est de surveiller le diagramme de performances des processeurs, ou peut-être de vous apercevoir qu’un ventilateur tourne plus fort que d’habitude.

Sur les deux dernières années, nous avons observé une tendance des équipes de ransomwares à passer à d’autres activités telles que le cryptojacking. Pourquoi ? L’une des raisons apparentes est que le retour sur investissement d’une souche de ransomware (qui a coûté des mois de développement) diminue dès lors qu’elle se retrouve dans les flux de services publics comme VirusTotal.

Comme toute personne qui gère une affaire rentable, les cybercriminels font preuve d’agilité et de flexibilité dans leur travail. Il est donc tout naturel qu’ils recherchent activement différents moyens d’atteindre leurs cibles financières. Le cryptojacking offre cette agilité, dans la mesure où il est relativement facile à déployer en parallèle d’autres activités criminelles.

L’attrait du cryptominage

Il ne coûte presque rien et ne présente quasiment aucun risque. Rien d’étonnant à ce que les cybercriminels manifestent un grand intérêt pour le cryptominage en tant que modèle de base. Une bonne partie de l’opération est automatique, le logiciel s’en charge. À noter, cependant, que la volatilité des cryptomonnaies ainsi que l’augmentation des coûts de l’énergie exercent actuellement une forte pression sur les mineurs. En 2018, il était possible de gagner, en toute légalité, 100 dollars/jour, mais aujourd’hui, ce profit a été divisé par deux, et il est devenu plus complexe et difficile de rester dans la légitimité.

En conséquence, selon le rapport sur les menaces de SonicWall, le cryptojacking est de nouveau en hausse. Au premier trimestre 2021, 34,2 millions d’actes de cryptojacking ont été observés, un record trimestriel depuis le début des enregistrements de SonicWall. Mais ce qui est plus inquiétant, c’est que le pire mois en 2021, en matière de cryptojacking, fut de loin le mois de décembre, avec 13,6 millions d’attaques enregistrées. Même si décembre 2021 n’éclipse pas les 15,5 millions du mois de mars 2020, il obtient une confortable deuxième place au palmarès et annonce, en comparaison, un début tout sauf optimal pour 2022.

Suis-je infecté par un malware de cryptojacking ?

Les cryptomineurs s’intéressent à votre puissance de traitement, et les cryptojackers doivent agir en toute discrétion. Donc, la quantité de ressources de processeur prélevée va dépendre de leurs objectifs.

S’ils détournent moins de puissance, ils sont plus difficiles à remarquer par les utilisateurs peu suspicieux. Mais s’ils volent davantage, ils augmentent leurs gains. Bien sûr, dans un cas comme dans l’autre, il y aura un impact sur les performances, mais le seuil étant assez bas, il peut être difficile de distinguer l’activité de minage de celle d’un logiciel régulier.

En entreprise, les administrateurs peuvent ouvrir l’œil sur les processus inconnus dans leur environnement. Les utilisateurs finaux de logiciels Windows peuvent, quant à eux, lancer Sysinternals Process Explorer pour voir ce qui est en cours d’exécution. Les utilisateurs de Linux et macOS peuvent enquêter, respectivement, avec System Monitor ou Activity Monitor, pour la même raison.

Comment se prémunir contre les cryptojackers ?

La première étape de défense contre le cryptojacking consiste à stopper ce type de malware à la passerelle, via les pare-feux ou le service de sécurisation de messagerie (sécurité du périmètre), ce qui est l’un des meilleurs moyens d’écarter les menaces sur fichier connues.

Les gens étant enclins à réutiliser de l’ancien code, il est relativement simple d’attraper des cryptojackers. Selon les prévisions de SonicWall cependant, il devrait y avoir une recrudescence de variantes et de techniques de cryptojacking, les auteurs ayant le temps de développer davantage d’outils. De plus, le cryptojacking pourrait aussi devenir une méthode de choix pour les malfaiteurs du fait de son caractère masqué ; des dommages faibles et indirects aux victimes réduisent le risque d’exposition et étendent la durée de vie utile d’une attaque aboutie.

Si la souche de malware est inconnue (nouvelle ou mise à jour), elle passera outre les filtres statiques au niveau de la sécurité du périmètre. Si un fichier est inconnu, il sera acheminé vers une sandbox afin d’en inspecter la nature.

Le service multi-moteur SonicWall Capture Advanced Threat Protection (ATP), équipé de la technologie Real-Time Deep Memory Inspection (RTDMI)™, est extrêmement efficace dans la prévention des malwares évasifs, qui sauront peut-être déjouer un moteur, mais pas les autres.

Si l’un de vos terminaux ne se trouve pas derrière cette configuration type (mais par exemple en itinérance à l’aéroport ou dans un hôtel), vous devez déployer un produit de sécurité des terminaux incluant la détection comportementale.

Les cryptomineurs peuvent opérer dans le navigateur ou être livrés via une attaque sans fichier, de sorte que les solutions héritées que vous obtenez gratuitement avec un ordinateur ne les verront pas.

Les solutions de cybersécurité basées sur le comportement comme Capture Client ATP peuvent détecter des malwares qui autorisent le cryptominage et stopper l’opération. L’administrateur peut alors rapidement mettre en quarantaine et détruire le malware ou, dans le cas de piratages qui ont endommagé les fichiers système, récupérer la dernière version connue saine du système avant l’exécution du malware.

Armées des bonnes défenses du périmètre associées à l’analyse comportementale, les entreprises peuvent combattre les formes de malware les plus récentes, quelle que soit la tendance ou l’intention.