Cercles des DSI

L’IA empêche les crypto-criminels de siphonner les ressources d’ordinateurs zombies

Publié le

par Grégory CARDIET, Directeur SE EMEA, Vectra.

En recherche de nouvelles sources de revenus, la société américaine éditrice de média, Salon, vient de lancer une pratique plutôt inhabituelle et qui fait débat. 

En effet, au mois de février, le magazine a annoncé que les lecteurs utilisant des bloqueurs de publicités se verraient interdire l’accès au contenu à moins d’accepter que Salon ne se serve de leur ordinateur pour miner la cryto-monnaie Monero. 

Ceux qui mettent en doute la rentabilité d’une telle initiative font fausse route. L’objectif commercial sous-jacent n’est pas de transformer, à leur insu, les visiteurs en chercheurs d’or virtuels, mais de les dissuader d’utiliser des logiciels de blocage de publicités.

Cercles des DSI

Il n’y a pas meilleur moyen de dissuasion que de détourner les appareils des visiteurs afin de miner des monnaies comme Monero ou le Bitcoin. La création de crypto-monnaies peut en effet sérieusement compromettre l’expérience utilisateur : elle réduit la vitesse et l’efficacité des appareils, allant même jusqu’à endommager l’équipement. À cela s’ajoutent les coûts. En fait, les coûts en électricité du minage de Monero dépassent souvent la valeur de la monnaie elle-même.

Le plus inquiétant est de voir ces entités indésirables s’introduire dans les systèmes et appareils via des vulnérabilités ou des portes dérobées existantes. Des pirates sont susceptibles d’exploiter ces failles systémiques pour dérober des données personnelles ou des données sensibles de l’entreprise, infiltrer les réseaux en vue d’installer des rançongiciels et des botnets, ou simplement revendre leur accès et leur contrôle au vaste réseau de cybercriminels qui sévissent sur le Dark Web. De leur côté, les victimes se retrouveront plongées dans un abîme de perplexité, se demandant pourquoi leur machine met un temps fou à accomplir les tâches les plus simples.

Traquer les pirates

S’il s’avère de plus en plus lucratif, le détournement des appareils des utilisateurs pour miner les crypto-monnaies n’est pas sans faire de victimes. Ces derniers mois, des entreprises aussi diverses que Tesla, YouTube et une kyrielle d’organismes publics, parmi lesquels le service de santé publique (NHS) britanniques, ont été victimes de malwares de minage de crypto-monnaies.

Malgré la chute de la valeur du Bitcoin, le fléau qu’est le « cryptojacking » ne marque aucun répit. La volatilité de ces monnaies virtuelles et la facilité avec laquelle n’importe qui peut détourner les appareils d’utilisateurs peu méfiants rendent cette technique particulièrement attractive pour les criminels : tout ce qu’ils ont à faire, c’est attendre, récolter de l’argent à partir de milliers de machines contrôlées par des bots, puis encaisser leurs gains lorsque la valeur de la devise commence à remonter.

Le phénomène doit être surveillé de très près étant donné que la détection du minage de crypto-monnaies fait souvent apparaître d’autres menaces encore plus graves pour la sécurité. Au cours des six derniers mois, nous avons identifié grâce à l’utilisation de techniques de détection et réponse à incident basées sur l’intelligence artificielle (IA) et le machine learning, une recrudescence du minage de crypto-monnaies sur les appareils d’entreprise, en corrélation étroite avec le prix du Bitcoin. Les clients ont pu être prévenus en temps réel d’un certain nombre de hacks cachés dont le seul objectif était de prendre le contrôle des machines, sous forme d’attaques ciblées ou bien opportunistes, afin de miner les Bitcoins et autres crypto-monnaies.

Dans le cadre de nos recherches, nous avons découvert que certains secteurs, comme l’éducation et la santé, étaient particulièrement exposés au cryptojacking. Ces attaques se répandent dans le monde entier, avec un taux de détection du minage de Bitcoins plus élevé dans les pays riches et développés comme les États-Unis, le Royaume-Uni, la Suisse, l’Allemagne, Singapour et le Japon.
Riposter

Pourquoi ces criminels sont-ils autorisés à agir en toute impunité, détournant des appareils à loisir sans être détectés ?

Dans le monde asymétrique des professionnels de la cybersécurité et des cybercriminels, ce sont souvent ces derniers qui prennent le dessus, car il leur suffit d’une seule faille pour s’introduire dans votre entreprise et accomplir leurs activités illicites. Aujourd’hui, les pirates ont généralement l’avantage dans la mesure où la plupart des entreprises continuent à concentrer la majorité de leurs ressources de cybersécurité sur la défense du périmètre.

Toute tentative d’interception de pirates ayant franchi les défenses du périmètre est souvent vouée à l’échec parce que les criminels sont passés maîtres dans l’art de camoufler les malwares, par exemple en imitant les signatures de menaces connues.

Pour lutter contre les « mineurs » de crypto-monnaies, et toute autre forme de malware et de menace avancée persistante (APT), il faut commencer par cibler leur limitation persistante. Bien que les malwares soient capables de déjouer les défenses du périmètre en reproduisant du trafic bénin, une fois au sein du réseau, ils se comportent de manière prévisible pour accomplir leurs tâches. Par exemple, ils communiquent via des protocoles de minage ou utilisent des signaux d’orchestration de commande et de contrôle (C2) à distance vers et depuis le membre du botnet de minage.

Cercles des DSI

Vectra Cognito détecte plusieurs instances de minage de Bitcoins sur un hôte interne.

Ces modèles de comportement constituent la principale faiblesse des attaquants. Une entreprise à même de repérer immédiatement ces signes avant-coureurs pourra isoler et éradiquer ces attaques avant qu’elles ne causent des dégâts. À cet égard, une solution manuelle, qui nécessiterait de nombreuses heures et journées de travail, serait beaucoup trop lente pour être efficace et ne permettrait pas de couvrir l’intégralité du réseau d’entreprise.

C’est là que l’IA et l’automatisation ont un rôle important à jouer. En tirant parti de la puissance de ces technologies, les systèmes de détection et de réponse aux menaces d’entreprise les plus récents peuvent détecter les entités dont le comportement indique des manœuvres malveillantes au sein du réseau. L’autre avantage de cette nouvelle génération de systèmes de sécurité est qu’ils éliminent l’afflux d’alertes de sécurité générées par les systèmes traditionnels de prévention et de détection des intrusions (IDPS) basés sur les signatures, sachant que la plupart de ces alertes sont des faux positifs qui constituent une perte de temps.

Par opposition, les nouveaux systèmes de détection et de réponse aux menaces basés sur l’IA et l’apprentissage automatique déployés dans l’entreprise agissent comme des « fils de détente » multiples. Ils alertent instantanément les administrateurs système de la présence de visiteurs indésirables et fournissent des informations permettant d’identifier les comportements qu’un malware ne peut pas dissimuler. Nous savons d’expérience que l’utilisation de l’IA pour analyser le comportement d’un attaquant divise par 30 environ les temps de réponse par rapport aux méthodes de prévention et de détection des intrusions traditionnelles reposant sur des alertes.

Le minage de crypto-monnaies n’est pas en soi la pire des choses qu’une entreprise ait à subir. Mais le fait que des pirates puissent accéder aux réseaux d’entreprise, détourner des appareils et les contrôler avec tant de facilité et aussi longtemps sans être détectés montre qu’une entreprise ne maîtrise pas sa propre sécurité. Et cela constitue un risque beaucoup plus grand.

Il est temps pour chaque entreprise de riposter face aux botnets qui siphonnent leur puissance de traitement et gonflent leurs factures d’électricité, causant au passage de graves préjudices et les exposant à d’énormes risques.

Dernière publication

CrowdStrike a réalisé une enquête portant sur les cybermenaces touchant la chaine logistique. Réponses dans cet article. 

Lire