Guardicore Labs, une entreprise de cybersécurité, affirme avoir dent un logiciel malveillant complexe de minage de cryptomonnaies vieux de deux ans. Il s'agit d'un bot malveillant qui est resté indétecté dans l'environnement de minage de cryptomonnaies pendant plus de deux ans.
Cette révélation survient alors que les escrocs profitent de la pandémie de coronavirus pour sévir. De nombreuses organisations caritatives utilisant les cryptomonnaies sollicitent des dons pour lutter contre la COVID-19, et les chercheurs mettent en garde contre les arnaques qui y sont liées.
La menace des botnets de minage de cryptomonnaies est bien réelle.
Baptisée « Vollgar », cette menace est associée à Vollar (VSD), une cryptomonnaie alternative en développement. Elle cible les systèmes Windows fonctionnant sur des serveurs MS-SQL. Selon la société de cybersécurité , environ un demi-million de machines à travers le monde utilisent ces serveurs.
Bien que ces machines soient rares, leurs serveurs offrent une puissance de calcul considérable. Plus inquiétant encore, ces serveurs stockent les mots de passe, les noms et les coordonnées bancaires des utilisateurs, y compris des informations sensibles relatives aux cartes de crédit.
Comment fonctionne un botnet de minage de cryptomonnaies
Ce logiciel malveillant complexe de minage de cryptomonnaies exploite les serveurs MS-SQL. Cependant, le groupe Vollgar tend à neutraliser les autres menaces et à déployer ses outils d'accès à distance (RAT) ainsi que les mineurs eux-mêmes. Le rapport précise que 60 % des infections étaient de courte durée ; environ 20 % ont duré plusieurs semaines, tandis que 10 % correspondaient à des attaques répétées.
Les attaques ciblent environ 120 adresses IP situées en Chine . Cependant, Guardicore souligne que ces adresses ont un point commun : leurs serveurs sont compromis et utilisés pour infecter d’autres systèmes. La société de sécurité ajoute que la responsabilité incombe aux hébergeurs corrompus.
Les hébergeurs sont responsables car ils permettent aux attaquants d'utiliser leurs noms de domaine et adresses IP. Si les fournisseurs ne surveillent pas ces activités, la recrudescence des attaques continuera de nuire aux utilisateurs de cryptomonnaies pendant longtemps.
Cibles du botnet de minage de cryptomonnaies Vollgar
D'après Ophir Harpaz, chercheur en cybersécurité chez Guardicore Labs, Vollgar est supérieur aux autres outils de cryptojacking. Ce logiciel malveillant mine plusieurs altcoins, dont Vollar et Monero. De plus, le bot utilise un pool privé comme réseau de minage.
Le chercheur souligne ensuite que le bot possède des capacités de génération de revenus multiples. Pour ce faire, il utilise plusieurs BAT en plus du mineur de cryptomonnaie, ce qui en fait un outil efficace dans le domaine du cryptojacking.
Guardiscore indique que ses investigations montrent que la première attaque associée au réseau de robots de minage de cryptomonnaies a été détectée en mai 2018. Cela représente près de deux ans après la première activité enregistrée.
