Cryptomining Weap & # 39; Beapy & # 39; cible les entreprises asiatiques, ignore les consommateurs
Les scientifiques ont découvert une norme de cryptomine basée sur des fichiers, jusqu'alors inconnue, qui était très ciblée sur les entreprises basées en Asie.
Les chercheurs de l'équipe d'enquête sur les réponses de sécurité de Symantec Corporation estiment que cette dernière menace perpétue ce qu'ils décrivent comme une tendance récente du cryptojacking: cibler les grandes entreprises et les grandes organisations plutôt que les consommateurs.
Les programmes malveillants Double Beapy, basés sur Python, utilisent le protocole d’exploitation «Windows SMB Server Message Block» «EternalBlue» pour s’étendre sur le réseau de la victime et la porte dérobée DoublePulsar pour permettre l’exécution de code à distance sur des périphériques infectés. On pense généralement que ces deux outils malveillants ont été créés par l'agence américaine de sécurité et ont été publiquement divulgués par le groupe de hackers Shadow Brokers en 2017.
Dans un article de blog du 24 avril, Symantec a annoncé que l'activité de Beapy avait débuté dans sa télémétrie en janvier, mais qu'elle avait augmenté depuis le début du mois de mars et qu'elle avait même été observée sur des serveurs Web.
Une analyse effectuée par Symantec sur des victimes connues a montré que 98% d’entre elles étaient des entreprises, alors que seulement 2% étaient des consommateurs. "Bien que nous n'ayons aucune preuve que ces attaques soient ciblées, les capacités conviviales de Beapy vis-à-vis des vers informatiques montrent qu'elle était probablement toujours censée se propager à travers les réseaux d'entreprise", indique le rapport.
En fait, "alors que la cryptojacking a perdu de sa popularité auprès des cybercriminels depuis le début de l'année 2018, elle reste une priorité pour certains d'entre eux, les entreprises atteignant leur objectif principal", poursuit le rapport. (Symantec a constaté une baisse de 52% du cryptojacking en 2018 par rapport à l'année précédente.)
La Chine a été le pays le plus touché par Beapy, avec 83% des victimes, suivie du Japon, de la Corée du Sud, de Hong Kong et de Taiwan. Les logiciels malveillants ont également visé les Philippines, le Vietnam et le Bangladesh, tandis que les États-Unis et la Jamaïque sont les seuls pays hors Asie à avoir publié ce rapport.
Les victimes sont infectées par courrier électronique contenant une feuille de calcul Excel illicite. L’ouverture de ce document entraîne le téléchargement de la porte arrière DoublePulsar, à la suite de laquelle une commande PowerShell est exécutée pour établir la communication avec le serveur de commande et de contrôle de Beapy. C'est à ce moment qu'un programme de cryptomination basé sur Monero est téléchargé.
Etant donné que les machines correctives appropriées sont déjà protégées contre EternalBlue, les logiciels malveillants tentent également de se propager aux ordinateurs en réseau à l'aide d'une liste codée en dur de noms d'utilisateur et de mots de passe, ainsi que des informations d'identification obtenues à partir de machines déjà infectées via l'outil open source Mimikatz.
Symantec affirme avoir trouvé une version antérieure de Beapy, écrite en langage de programmation C, sur un serveur avec le public cible. Le ver a tenté de se propager aux ordinateurs connectés en générant une liste d'adresses IP cibles. Cette version du malware a également tenté d'exploiter les vulnérabilités d'Apache Struts, Apache Tomcat et Oracle WebLogic Server.
Symantec estime que le déclin de Coinhive le mois dernier pourrait avoir affecté la décision de l'attaquant de sélectionner une cryptomine basée sur un fichier sur une machine cryptée basée sur un navigateur. Une autre raison possible est que les mineurs basés sur des fichiers génèrent des bénéfices plus rapidement que ceux basés sur un navigateur. Selon Symantec, un réseau de collecte de pièces sur fichier de 100 000 unités peut générer environ 750 000 USD en 30 jours, tandis que la technologie d’exploitation minière en ligne ne génère qu’environ 30 000 USD sur la même période.
Pour se protéger contre Beapy et d’autres menaces de cryptage, Symantec recommande d’investir dans les technologies de protection des points finaux, du courrier électronique et des passerelles Web, de déployer des pare-feu, d’évaluer les vulnérabilités, de promouvoir la sensibilisation aux menaces de phishing et de installer régulièrement des mises à jour de sécurité.
Commentaires
Laisser un commentaire