En toute impunité les pirates installent des logiciels malveillants de cryptojacking sur des serveurs Microsoft Exchange non corrigés.

Le cryptojacking représente une menace en ligne émergente qui se cache sur un ordinateur ou un appareil mobile. Il utilise les ressources de la machine en secret, pour « miner » des cryptomonnaie.

Malheureusement, cette menace naissante peut envahir les navigateurs Web, et corrompre tous les types d’appareils. Que se soit des ordinateurs de bureau, portables, Smartphones ou même des serveurs réseau.

Selon un rapport des chercheurs en cyber sécurité de Sophos, les cybercriminels cherchent sur Internet des serveurs Microsoft Exchange vulnérables qu’ils peuvent exploiter pour extraire de la cryptomonnaie.

C’est essentiellement de l’argent gratuit pour les attaquants», préviennent les chercheurs en cybersécurité.

Pourquoi le cryptojacking préfère Monero ?

Simplement parce que Monero n’est pas aussi sécurisé que Bitcoin, mais il est plus facile à exploiter. Les cybercriminels le savent ! Et ils profitent du grand anonymat des transactions pour s’infiltrer Incognito.

De cette manière, le propriétaire du portefeuille et les cybercriminels sont plus difficiles à retracer.

Selon le même rapport, les recherches révèlent que de nombreux groupes de cybercriminels, des pirates soutenus par l’État-nation aux opérateurs de ransomwares , tentent de bénéficier de serveurs Exchange encore non corrigés.

Cryptojacking – Une menace très sérieuse

Les cybercriminels ciblent les serveurs Microsoft Exchange vulnérables avec des logiciels malveillants d’extraction de crypto-monnaie dans une campagne conçue pour utiliser secrètement la puissance de traitement des systèmes compromis pour gagner de l’argent.

Les vulnérabilités zero-day de Microsoft Exchange Server ont été détaillées le mois dernier lorsque Microsoft a publié des mises à jour de sécurité critiques pour empêcher l’exploitation de systèmes vulnérables.

Des cyber-attaquants allant des groupes de piratage liés aux États-nations, aux gangs de ransomwares se sont précipités pour profiter de serveurs Exchange non corrigés – mais ils ne sont pas les seuls.

Par ailleurs, les chercheurs en cybersécurité de Sophos ont identifié des attaquants qui tentaient de profiter de l’exploit Microsoft Exchange Server ProxyLogon. Ces pirates tentaient d’installer secrètement un crypto-mineur Monero sur les serveurs Exchange.

Lire aussi l’article : Le Monero toujours un train d’avance sur les régulateurs

Dans l’ensemble, le cryptojacking préfère largement le matériel des serveurs, car il a généralement des performances plus élevées qu’un ordinateur de bureau ou un ordinateur portable. De sorte que la vulnérabilité permet aux attaquants de scanner tout simplement tout Internet à la recherche de machines disponibles, puis de les intégrer au réseau.

De l’argent qui roule pour les attaquants et fondamentalement gratuit, a déclaré Andrew Brandt, principal chercheur sur les menaces chez Sophos.

Bien que le cryptojacking ne semble pas aussi grave qu’une attaque de ransomware ou la perte de données sensibles, cela représente toujours une inquiétude pour les organisations.

En effet, cela signifie que les cyber-attaquants ont pu accéder secrètement au réseau et, surtout, que l’organisation n’a toujours pas appliqué les mises à jour critiques conçues pour se protéger contre toutes sortes d’attaques.

Selon l’analyse, le portefeuille Monero de l’attaquant derrière cette campagne, a commencé à recevoir des fonds du minage le 9 mars. Seulement quelques jours après la découverte des vulnérabilités d’Exchange, ce qui suggère que l’attaquant a rapidement exploité des serveurs non corrigés.

Méthode de cryptojacking.

Les attaques commencent par une commande PowerShell qui récupère un fichier à partir du chemin de connexion Outlook Web Access d’un serveur précédemment compromis. Ensuite, il télécharge les charges utiles exécutables, qui contiennent une version modifiée d’un outil disponible publiquement sur Github, pour installer Monero Miner.

Une fois le contenu exécuté sur le serveur, la preuve d’installation est supprimée et le processus d’exploration de données s’exécute en permanence en mémoire.

Protéger les réseaux contre le cryptojacking

Les analystes de Sophos ont découvert que le portefeuille Monero des opérateurs de campagne avait commencé à recevoir des fonds via le crypto mining à partir du 9 mars 2021, quelques jours après l’identification des vulnérabilités de MS Exchange.

Correction obligatoire et immédiate des serveurs vulnérables.

Enfin, toutes les organisations et entreprises doivent appliquer les mises à jour de sécurité critiques. Cela permettra de corriger immédiatement les vulnérabilités de MS Exchange Server pour protéger leurs réseaux contre le cryptojacking et d’autres attaques.