Publicité en cours de chargement...

Publicité en cours de chargement...

Après les crypto ransomwares, place aux crypto miners

06 fév. 2018 - 10:30,
Tribune - Charles Blanc-Rolin
Les rançongiciels chiffrant, sont déjà depuis plusieurs années dans le spectre des équipes SI et SSI. En effet, quel établissement de santé peut se vanter de ne pas avoir eu à faire, ne serait-ce qu’une fois à l’une de ces attaques lors des cinq dernières années. L’infection de 81 hôpitaux britanniques par le ransomware Wannacry en mai 2017, en est sûrement l’exemple le plus marquant(1).

Depuis 2013, où j’ai pu voir arriver au sein de mon établissement les premiers rançongiciels chiffrant, après la mode des rançongiciels non chiffrant du type « faux message de la gendarmerie en plein écran », les solutions de protections, les politiques de patch management et les mentalités ont tout de même évolué, et ces logiciels malveillants restent, heureusement, le plus souvent à la porte de nos établissements. 

Depuis quelques mois maintenant, sont régulièrement mis sur le devant de la scène par la presse spécialisée ou les blogs des éditeurs d’antivirus, de nouveaux « logiciels » malveillants : les crypto miners. Les plus assidus d’entre vous me diront, ce n’est pas une nouveauté, et ils auront raison, rappelez-vous Adylkuzz(2) le crypto miner découvert par Kafeine, qui exploitait la même vulnérabilité que Wannacry (MS17-010), à la même période.
J’ai pu voir passer quelques alertes m’indiquant que plusieurs d’entre eux avaient été arrêtés à la porte, mais d’après certains de mes collègues avec qui j’ai plaisir à échanger sur le Forum SIH et en dehors, il semblerait que les crypto miners aient déjà franchi la porte de certains de nos établissements. 

Alors pour repartir sur de bonnes bases, essayons d’éclaircir ce sujet.
Un crypto miner, est un logiciel malveillant exploitant les performances (CPU et GPU) de la machine infectée dans le but de « générer » de la crypto monnaie, vous savez, ces monnaies virtuelles et décentralisées permettant d’effectuer des transactions sur le Web, et plus souvent le Darkweb, de manière « anonyme », comme le Bitcoin, Monero ou encore Ethereum, pour n’en citer que les plus connues.

On notera que l’UNICEF, surfant sur la vague de ce phénomène très en vogue, fait appel aux joueurs pour mettre à disposition leurs « PC de l’espace » au profit d’une bonne cause en « minant » de l’Ethereum(3).

Il s’avère que les crypto miners servent des causes beaucoup moins nobles.
J’ai pu constater à ce jour, deux grandes « catégories » :

- des logiciels malveillants « installés » sur la machine victime, qui est souvent intégrée à un réseau d’autres machines infectées : un botnet, permettant de « miner » en masse de la crypto monnaie. Ils peuvent être intégrés à des applications mobiles(4), des extensions pour navigateurs(5) ou encore de fausses mises à jour Flash Player(6) par exemple.

- du code JavaScript intégré à des pages web, à l’insu du gestionnaire du site parfois(7), mais pas toujours (certains ont trouvé une source de revenu autre que la publicité(8)), dans le but d’utiliser les performances de la machine du visiteur pour, là encore « miner », encore « miner », toujours « miner »… Le script le plus populaire est celui proposé par Coinhive, utilisé pour « miner » du Monero. On constate une importante recrudescence de sites utilisant ce script, ou des scripts similaires. Un service en ligne permet même de tester la présence du script de Coinhive sur des sites(9) à partir de leur URL.
Si bloquer l’exécution de JavaScript semble complexe aujourd’hui, sachez que le bloqueur publicitaire libre uBlock Origin(10) par exemple peut permettre de se protéger contre l’exécution du script.

ublock_coinhive

Alors, même si ces nouveaux logiciels malveillants ne laissent pas pré-sentir « un gros danger » en soi, au-delà du fait d’user prématurément les machines (pour des hôpitaux en déficit, ça compte), en ralentissent fortement les machines victimes, ils sont donc susceptibles de perturber la disponibilité et l’intégrité de nos données en retardant ou en rendant impossible certains traitements, ils ne faudra donc pas les négliger.


(1) /article/2704/nouveau-coup-dur-pour-les-hopitaux-anglais.html

(2) https://www.proofpoint.com/us/threat-insight/post/adylkuzz-cryptocurrency-mining-malware-spreading-for-weeks-via-eternalblue-doublepulsar

(3) https://www.lesnumeriques.com/vie-du-net/l-unicef-appelle-gamers-a-miner-crypto-monnaies-n71179.html

(4) http://blog.netlab.360.com/early-warning-adb-miner-a-mining-botnet-utilizing-android-adb-is-now-rapidly-spreading-en/

(5 https://medium.com/@ale_polidori/with-this-article-i-would-like-to-share-a-real-experience-of-discovering-a-malware-that-mines-36e26c8dfe1e

(6) https://www.virustotal.com/#/file/6d85b372e3a905b5065f8a059dc2c97eee707573b8a9ea97c77f4db87a3c9771/detection

(7) http://www.clubic.com/antivirus-securite-informatique/cryptage-cryptographie/crypto-monnaie/actualite-842162-pubs-youtube-detournent-clandestinement-pc-crypto-minage.html 

(8) http://www.zdnet.fr/actualites/l-or-de-piratebay-combien-rapporte-le-mineur-de-cryptomonnaie-39857736.htm 

(9) http://whorunscoinhive.com

(10) https://github.com/gorhill/uBlock

Avez-vous apprécié ce contenu ?

A lire également.

Illustration IA et santé : cap sur une cybersécurité consolidée et proactive

IA et santé : cap sur une cybersécurité consolidée et proactive

18 juin 2025 - 10:57,

Communiqué

- Trend Micro

Le secteur de la santé, porté par la vague de l’IA, veut gagner en flexibilité, innover dans la prise en charge des patients et maîtriser les coûts. Des promesses qui ne se concrétiseront que dans un cadre de sécurité robuste. En effet, l’IA se révèle à double tranchant. Elle renforce les lignes de ...

Illustration Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

Appel à propositions de l’Europe pour la cybersécurité des PME et des organismes publics

16 juin 2025 - 22:18,

Actualité

- Damien Dubois, DSIH

Le 12 juin, la Commission européenne a annoncé un investissement de 145,5 millions d’euros pour soutenir la cybersécurité des PME, administrations et établissements de santé.

Illustration Et c’est l’heure de notre quiz annuel

Et c’est l’heure de notre quiz annuel

16 juin 2025 - 22:10,

Tribune

-
Cédric Cartau

Ça y est, c’est bientôt l’été avec tout qui chauffe, le soleil qui revient, le maillot de bain de l’année dernière dans lequel vous ne rentrez plus – hiver oblige. Il est largement temps de se changer les idées avec un petit quiz aux questions subtilement nuancées, une exclusivité DSIH souvent imité...

Illustration IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

IA & éthique du numérique en santé : le guide d’implémentation de l’ANS

09 juin 2025 - 21:17,

Tribune

-
Alexandre FIEVEÉ &
Alice ROBERT

Compte tenu, d’une part, des perspectives d’amélioration que l’IA promet dans le secteur de la santé et, d’autre part, de la montée en charge rapide de l’offre de systèmes d’IA (SIA), la cellule éthique de la Délégation au numérique en santé (DNS) a réuni un groupe de travail (GT) pluridisciplinaire...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.