Avec Wannamine, le cryptojacking réactive EternalBlue de la NSA

Après Wannacry, voici Wannamine, un malware utilisant l’outil de piratage EternalBlue développé par la NSA. Son objectif est de siphonner la puissance des processeurs pour miner de la monnaie virtuelle. Le cryptojacking est en passe de devenir le nouveau ransomware.

Un bon exploit ne meurt jamais. Après avoir semé la terreur en 2017, Wannacry ou plutôt l’outil de piratage qui est derrière, EternalBlue, refait surface à travers le malware Wannamine. Ce dernier provoque ce que l’on appelle du cryptojacking, c’est-à-dire qu’il a pour ambition d’infecter des ordinateurs et d’utiliser la puissance des CPU pour générer de la monnaie virtuelle.

On se souvient qu’EternalBlue était un exploit ciblant Windows et des failles dans SMB (Server Message Block). Il a été dévoilé par un groupe de pirates, connu sous le nom Shadow Brokers. Cet exploit fait partie d’un ensemble d’outils : EternalChampion, EternalSynergy et EternalRomance. Couplé avec un autre exploit, DoublePulsar, il a fait des ravages dans les entreprises avec Wannacry et s’est étendu ensuite avec l’offensive NotPetya.

Le couple infernal Mimikatz et EternalBlue

Avec Wannamine, EternalBlue reprend du service non pour bloquer les PC ou les serveurs, mais pour puiser de manière furtive dans la puissance des processeurs pour générer des cryptomonnaies comme Bitcoin ou Monero.

Repéré en octobre dernier par Panda Security, Wannamine a été récemment détecté par la firme CloudStrike dans le cadre de plusieurs infections. « Ce malware sans fichiers utilise des techniques et des tactiques avancées pour rester au sein du réseau et se déplacer d’un système à l’autre », soulignent les chercheurs de CloudStrike.

Ils ajoutent, « premièrement, Wannamine profite des credentials obtenus par le programme Mimikatz (projet d’un Français utilisant une faille dans Active Directory) pour tenter de se propager et se déplacer au sein du système. En cas d’échec, Wannamine tente d’infecter le système distant avec EternalBlue ». L’usage de Mimikatz montre que même les machines immunisées contre EternalBlue peuvent être touchées. CloudStrike estime que dans certains cas Wannamine pompe jusqu’à 100% de la capacité du processeur pour miner.

Le cryptojacking, le nouveau ransomware ?

Le cryptojacking devient la nouvelle plaie en matière de cybersécurité. Les jours se suivent et apportent son lot de nouvelles infections. Des mineurs se sont cachés dans les publicités diffusées sur YouTube. Google est intervenu, mais rien n’échappe à ce procédé forçant les utilisateurs à miner des monnaies virtuelles. Une expansion qui interpelle les éditeurs de sécurité : est-ce que le cryptomining ne serait pas le nouveau ransomware ?

Il faut dire que l’opération est rémunératrice. Selon Proofpoint, un botnet nommé Smominru, utilisant lui aussi EternalBlue, a récolté entre 2,8 et 3,6 millions de dollars (principalement en Monero). Un avis partagé par Talos, le service de recherche en matière de sécurité de Cisco, qui constate que les kits d’exploits, comme RIG commencent à proposer des mineurs avec la promesse de gagner environ 85 dollars par jour, soit 31 000 dollars par an sans impôt.

 

Auteur : Jacques Cheminat

Journaliste pendant 15 ans sur les thématiques, télécoms, réseaux, datacenter, stockage, sécurité, virtualisation, etc..., j'ai choisi d'ouvrir ce blog pour écrire sur tous les sujets IT, les tendances et mes humeurs.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s