Les grandes entreprises sont averties de l’existence d’un nouveau malware Monero ciblant les réseaux
- Le Tor2Mine se propage extrêmement rapidement sur les systèmes et ne peut être éliminé par l’application de correctifs ou le nettoyage d’un seul système.
- Le logiciel malveillant du mineur tente continuellement de réinfecter d’autres systèmes sur le réseau même si le « serveur de commande et de contrôle du mineur a été bloqué ou est hors ligne ».
L’espace cryptographique a fait l’objet de nombreuses attaques de logiciels malveillants et un nouveau logiciel malveillant de minage de Monero-miner cible les réseaux des grandes entreprises. La société de cybersécurité Sophos a récemment publié les détails de la nouvelle variante du malware Tor2Mine.
Selon le dernier rapport, la nouvelle variante du crypto-miner Tor2Mine affecte fortement les réseaux d’entreprise pour le minage de la monnaie privée Monero (XMR). Les intrusions des variantes précédentes avaient une portée limitée, mais Sophos note que la dernière variante va plus loin.
Related: Un couple du Maryland vendant des informations nucléaires américaines à accès restreint pour Monero (XMR) arrêté par le FBI
Dans une explication détaillée, Sean Gallagher, chercheur en menaces chez Sophos, a déclaré : « Tous les mineurs que nous avons vus récemment sont des mineurs de Monero ». Le chercheur explique que la nouvelle variante du malware de crypto-minage Tor2Mine exploite les failles de la sécurité du réseau.
Il cible spécifiquement les systèmes dotés de fonctions de sécurité limitées, impliquant certains logiciels antivirus et anti-malware. Après s’être installé sur un serveur ou un ordinateur, le malware part à la recherche d’autres systèmes pour y installer son mineur de crypto afin de réaliser un maximum de profits. Le billet de blog officiel de Sophos se lit comme suit ::
Tor2Mine utilise un script PowerShell qui tente de désactiver la protection contre les logiciels malveillants, d’exécuter une charge utile de mineur et de récolter les informations d’identification de Windows. Grâce à ces informations d’identification, Tor2Mine peut se propager et continuer à réinfecter d’autres systèmes sur le réseau compromis s’il n’est pas complètement éradiqué et si la protection contre les logiciels malveillants n’est pas présente.
La propagation rapide de Tor2Mine rend difficile sa suppression.
L’un des plus gros problèmes de Tor2Mine est qu’il est difficile à attraper, dit Gallagher. « Une fois qu’il a pris pied sur un réseau, il est difficile de le déraciner sans l’aide d’un logiciel de protection des points de terminaison et d’autres mesures anti-malware », ajoute-t-il.
Gallagher ajoute que Tor2Mine se propage latéralement à partir du point de compromission initial. Il ne peut donc pas être éliminé en appliquant simplement un correctif ou en nettoyant un système. Le mineur tente continuellement de réinfecter d’autres systèmes sur le réseau. Cela se produit même si le « serveur de commande et de contrôle du mineur a été bloqué ou mis hors ligne ».
Les applications malveillantes de minage génèrent généralement beaucoup moins de revenus que les autres attaques. Ils ont donc tendance à se propager rapidement pour attaquer le plus grand nombre de systèmes possible afin de réaliser un maximum de bénéfices.
Gallagher dit qu’il faut identifier certains traits clés pour savoir si l’on est victime de l’attaque. Par exemple, une utilisation inhabituellement intensive de la puissance de traitement, une réduction des performances ou des factures d’électricité plus élevées que d’habitude.
La monnaie privée Monero (XMR) a été une bonne cible pour les attaquants et les cybercriminels. En effet, les adresses des portefeuilles Monero et les transactions sont difficiles à retracer. En effet, Monero utilise des signatures en anneau et des adresses furtives. Cela permet de cacher complètement l’identité de l’expéditeur et du destinataire.