Les botnets d'extraction de crypto-monnaie font des millions pour leurs créateurs en infectant secrètement divers appareils à travers le monde.
Au début de février, plus d'un demi-million d'appareils informatiques ont été détournés par un botnet mineur de crypto-monnaie appelé Smominru, forçant les différents appareils à exploiter près de 9000 crypto-pièces Monero à l'insu des propriétaires des appareils, selon le portail technologique ZDNet.
Bienvenue dans le monde malveillant des botnets - une collection de divers appareils informatiques connectés à Internet, qui peuvent inclure des ordinateurs de bureau, des serveurs, des appareils mobiles et des appareils compatibles avec l'Internet des objets (IoT), qui sont délibérément infectés et contrôlés par un type commun de logiciels malveillants. Le mécanisme de fonctionnement de ces réseaux de zombies garantit que les propriétaires d'appareils ne savent généralement pas qu'un botnet est infecté et contrôle désormais leur système.
Le système permet aux créateurs de ratisser en cryptocash au détriment des propriétaires d'appareils ignorants qui n'ont aucune idée que leurs machines sont utilisées pour produire des cryptocoins.
Comment fonctionnent les botnets?
Un système de botnet s'apparente à un malware informatique standard. Les logiciels malveillants informatiques sont comme tout autre programme informatique, mais il est conçu pour utiliser un ordinateur pour des activités néfastes comme la corruption du système, la destruction et / ou le vol de données, ou l'utiliser pour des activités illégales qui ont un effet néfaste sur l'appareil, les données et le réseau. Sauf s'ils sont détectés par des programmes antivirus / anti-malware installés sur l'appareil, ces logiciels malveillants continuent de fonctionner à l'insu du propriétaire et sont capables de se répliquer sur les autres appareils connectés du réseau.
De même, les botnets sont des programmes automatisés développés sous forme de lignes de code par leurs créateurs et sont conçus pour se faufiler sur le dispositif informatique d'un utilisateur. Les botnets utilisent la puissance de traitement de la machine, l'électricité et la bande passante Internet pour exploiter une crypto-monnaie particulière. (Pour en savoir plus, voir Comment fonctionne l'exploitation de Bitcoin?)
Les réseaux de zombies sont généralement libérés sur un réseau privé d'ordinateurs interconnectés, de sorte que la puissance cumulée des différents appareils peut entraîner une plus grande puissance de calcul pour l'extraction de crypto-monnaie, augmentant ainsi la sortie de l'extraction et les récompenses correspondantes pour les créateurs de réseaux de zombies.
Étude de cas Smominru Miner Botnet
Le botnet mineur Smominru qui a été créé vers mai 2017 avait réussi à exploiter environ 9 000 jetons Monero d'une valeur d'environ 3, 6 millions de dollars en février 2018. Les chercheurs de la société de cybersécurité Proofpoint affirment que le botnet comprend «plus de 526 000 hôtes Windows infectés, dont la plupart sont, selon nous, des serveurs."
En raison de sa nature résiliente et de sa capacité à se régénérer, il a été difficile de contenir sa propagation malgré tous les efforts pour la supprimer. Géographiquement, les nœuds du botnet mineur Smominru sont répartis dans le monde entier, et la plupart d'entre eux se trouvent en Russie, en Inde et à Taiwan.
Après ses enquêtes et analyses, Proofpoint a demandé qu'un important bassin minier de Monero, MineXMR, interdise l'adresse liée à Smominru. Bien que cela ait entraîné la perte apparente de contrôle des opérateurs sur un tiers du botnet, ils ont rapidement enregistré de nouveaux domaines et commencé à extraire vers une nouvelle adresse sur le même pool.
Monero semble être la crypto-monnaie préférée à exploiter via de tels botnets, en raison de son anonymat et de ses fonctionnalités riches en confidentialité qui rendent difficile le suivi de l'adresse de destination vers laquelle les jetons extraits sont transférés. (Pour en savoir plus, consultez Qu'est-ce que la crypto-monnaie Monero (XMR)?)
De plus grandes récompenses pour moins de travail?
Les méthodes d'extraction de diverses crypto-monnaies deviennent de plus en plus compliquées et gourmandes en ressources chaque jour qui passe. Au lieu de se concentrer sur la route difficile mais honnête pour bénéficier des récompenses de minage de crypto-monnaie, les opérateurs de ces botnets prospèrent en abusant de tous les modes disponibles pour étendre leur botnet sur de plus en plus d'appareils, et concentrer leurs efforts et leurs énergies sur le développement de tels programmes préprogrammés systèmes. De plus, ils continuent de concevoir plusieurs façons de rendre le botnet plus robuste.
Compte tenu des bénéfices importants promis par ces réseaux de zombies, leur nombre et leurs effets néfastes devraient augmenter.
«La suppression du botnet est très difficile compte tenu de sa nature distribuée et de la persistance de ses opérateurs. Pour les entreprises, la prévention des infections grâce à des régimes de correctifs robustes et à une sécurité en couches est la meilleure protection contre les impacts potentiellement perturbateurs sur les infrastructures critiques », a déclaré Kevin Epstein, vice-président des opérations de menaces de ProofPoint, à News.com.au.
En juin 2017, un autre exploit similaire nommé DoublePulsar a été utilisé pour installer le logiciel malveillant de minage Monero sur divers appareils. Fin janvier 2018, la société de sécurité TrendMicro a signalé que les services publicitaires DoubleClick de Google (GOOGL) d'Alphabet Inc étaient utilisés pour distribuer des logiciels malveillants d'extraction de crypto-monnaie à un certain nombre d'utilisateurs en Europe et en Asie.
The Bottom Line
Alors que l'infrastructure de crypto-monnaie évolue toujours, de telles menaces planent sur les réseaux naissants. Bien qu'il puisse être difficile de contenir la menace au niveau de chaque utilisateur, une surveillance régulière des différents processus s'exécutant sur des appareils individuels peut être utile. (Voir aussi, le prix du Bitcoin baisse après la tache du ransomware "WannaCry".)
