Spécialisé dans le minage de Monero, un nouveau botnet a réussi à infecter plus d’un demi-million d’ordinateurs. Il se serait appuyé pour cela sur la faille de sécurité utilisée par le tristement célèbre WannaCry.
Surnommé Smominru, ce botnet – un réseau de programmes informatiques – est parvenu à infecter plus de 526 000 machines Windows à travers le monde, notamment en Russie, en Inde ainsi qu’à Taïwan.
Comme dans le cas des attaques au ransomware WannaCry – dont avaient été victimes des centaines de milliers d’ordinateurs l’année dernière – la majorité des machines ciblées seraient des serveurs d’entreprises et de gouvernements.
Mais la ressemblance s’arrête ici : Smominru détourne les processeurs des machines infectées pour miner du Monero, une crypto-monnaies anonyme – il ne cherche pas à chiffrer leur disque dur afin de pouvoir motiver une demande de rançon.
Le mineur de Monero utilisé, connu sous le nom d’Ismo, semble ainsi s’appuyer sur l” »exploit » EternalBlue, qui avait permis à WannaCry de s’infiltrer dans les réseaux de nombreuses organisations, notamment ceux du National Health Service britannique.
C’est la NSA qui était parvenue la première a exploiter cette faille, avant que cette possibilité ne soit publiée par un groupe de hackers en avril 2017. Si Microsoft l’avait résolue un mois plus tôt à travers une mise à jour de sécurité, de nombreuses machines semblent ne pas avoir encore installé ce correctif.
100 millions de dollars par an
Selon les experts en cybersécurité de la société Proofpoint, Smominru parviendrait à générer jusqu’à 24 Moneros par jour – soit environ 3700 euros lors de la rédaction de cet article.
D’après Talos, une autre société spécialisée dans la sécurité, de tels botnets peuvent effectivement s’avérer extrêmement lucratifs. C’est ce qu’elle l’explique dans l’une de ses études :
« Talos a pu analyser des botnets, qui se composaient de millions de systèmes infectés. D’après nos estimations, ils pourraient parvenir à générer plus de 100 millions de dollars par an ».
Le Monero semble être devenu l’une des crypto-monnaies les plus prisées par les hackers – comme en témoigne l’apparition, depuis plusieurs mois, de nombreux malwares associés à cet actif.
Et cette activité a sans doute été favorisée par l’arrivée, en 2017, de la bibliothèque javascript CoinHive. Celle-ci peut être intégrée en quelques minutes à un site internet, afin d’utiliser l’ordinateur des visiteurs pour miner du Monero. Il s’agirait désormais du 6ème malware le plus répandu au monde.
On peut d’ailleurs penser que ce phénomène n’est pas prêt de s’arrêter. La blockchain de Monero est totalement opaque, ce qui permet de blanchir immédiatement ses gains – en s’affranchissant ainsi des difficultés rencontrées par les pirates de la plateforme Coincheck.
Références : Cryptovest, SecurityWeek