Qu'est-ce que le cryptojacking?

14 janvier 2025

Le cryptojacking est une cybermenace qui consiste ร  miner des cryptomonnaies sans autorisation au dรฉtriment d'individus ou d'organisations sans mรฉfiance. Les activitรฉs de cryptojacking peuvent rester indรฉtectables pendant des pรฉriodes prolongรฉes, ce qui permet aux attaquants d'accรฉder en permanence ร  des informations confidentielles. matรฉriel sans encourir de frais.

Qu'est-ce que le cryptojacking?

Quelle est la signification du cryptojacking ?

Le cryptojacking fait rรฉfรฉrence ร  l'utilisation non autorisรฉe de ressources informatiques pour exploiter des devises numรฉriques telles que Monero, Ethereum ou d'autres cryptomonnaies axรฉes sur la confidentialitรฉ. Les attaquants intรจgrent des scripts or malware dรฉveloppement sites Internet, applications, ou fichiers, victimes de dรฉtournement d'avion Processeur or GPU pouvoir rรฉsoudre des รฉnigmes cryptographiques et gagner des piรจces numรฉriques. La dรฉgradation des performances, la consommation d'รฉnergie รฉlevรฉe et la surchauffe du systรจme sont des consรฉquences frรฉquentes.

Le cryptojacking est une tactique attrayante pour les cybercriminels, car le minage de cryptomonnaies classique nรฉcessite des dรฉpenses d'infrastructure importantes, allant du matรฉriel spรฉcialisรฉ (ASIC ou GPU) ร  la consommation d'รฉnergie. En s'appuyant sur des hรดtes peu mรฉfiants, les cryptojackers รฉvitent entiรจrement ces coรปts, dรฉchargeant ร  la fois l'รฉquipement et les factures de services publics sur la victime.

Le cryptojacking est-il illรฉgal ?

Le cryptojacking est illรฉgal dans la plupart des juridictions car il repose sur l'exploitation non consensuelle des ressources informatiques. Les lรฉgislateurs comparent le cryptojacking au dรฉploiement de logiciels malveillants, ร  l'accรจs non autorisรฉ au systรจme ou ร  la fraude informatique. Les cybercriminels Les personnes qui participent au cryptojacking sont passibles de poursuites judiciaires en vertu de lois rรฉgissant l'accรจs illรฉgal, la modification non autorisรฉe de donnรฉes et le vol de services informatiques. Les sanctions varient en fonction des rรฉglementations rรฉgionales, mais les contrevenants sont souvent confrontรฉs ร  des amendes importantes, ร  la saisie de leurs biens ou ร  une peine d'emprisonnement.

Les forces de lโ€™ordre surveillent les campagnes de cryptojacking en collaborant avec des fournisseurs de cybersรฉcuritรฉ. Les preuves techniques, telles que les signatures numรฉriques de logiciels malveillants de cryptominage, les enregistrements de domaines pour les pools de minage ou les donnรฉes provenant dโ€™infrastructures compromises, aident les autoritรฉs ร  identifier les individus ou les groupes orchestrant des attaques ร  grande รฉchelle.

La nature mondiale des cryptomonnaies rend leur application et leur attribution difficiles, mais les groupes de travail internationaux sur la cybercriminalitรฉ continuent d'affiner leurs approches pour traiter les incidents de cryptojacking.

Comment fonctionne le cryptojacking ?

Voici les mรฉthodes les plus courantes utilisรฉes par les cybercriminels pour lancer le cryptojacking :

  • Infections MalwareLes attaquants regroupent souvent les charges utiles de cryptominage avec Trojan des droppers, des exรฉcutables malveillants ou des mises ร  jour de logiciels contrefaites. Les victimes lancent involontairement ces packages, dรฉclenchant ainsi un minage de crypto-monnaie en arriรจre-plan. Certaines souches persistent en modifiant les registres systรจme, en injectant des scripts de dรฉmarrage ou en dรฉsactivant les processus de sรฉcuritรฉ pour garantir un minage ininterrompu.
  • Scripts basรฉs sur un navigateur. navigateur WebLe cryptojacking basรฉ sur des attaques de type JavaScript des extraits intรฉgrรฉs sur des sites Web compromis ou via des publicitรฉs malveillantes (malvertising). Le code commence immรฉdiatement ร  รชtre exploitรฉ une fois que le navigateur de l'utilisateur charge la page Web, consommant des ressources CPU jusqu'ร  ce que l'utilisateur quitte la page ou ferme l'onglet. Les variantes persistantes peuvent gรฉnรฉrer des fenรชtres contextuelles qui continuent de fonctionner mรชme aprรจs la fermeture de l'onglet principal.
  • Pilotez par les tรฉlรฉchargementsLes tรฉlรฉchargements intempestifs impliquent des tรฉlรฉchargements non planifiรฉs lorsque les utilisateurs visitent des sites Web infectรฉs ou cliquent sur des fenรชtres contextuelles trompeuses. Les attaquants exploitent des plugins de navigateur obsolรจtes, non corrigรฉs systรจmes de gestion de contenu, ou des paramรจtres de navigateur non sรฉcurisรฉs pour lancer des tรฉlรฉchargements de fichiers contenant des modules de cryptomining.
  • Exploits et vulnรฉrabilitรฉsExploite les failles du systรจme cible ou du rรฉseau, telles que les SMB faibles (server bloc de messages) configurations ou non corrigรฉes systรจmes d'exploitationLes attaquants exploitent des vulnรฉrabilitรฉs connues comme EternalBlue ou BlueKeep pour exรฉcuter du code de cryptomining ร  distance et le propager automatiquement sur les rรฉseaux d'entreprise ou data centers.
  • Campagnes de phishing et de courrier รฉlectronique. L'hameรงonnage Les attaques de cryptojacking diffusent des logiciels malveillants en persuadant les individus de cliquer sur des liens malveillants ou d'ouvrir des piรจces jointes infectรฉes. Les attaquants se font souvent passer pour des marques rรฉputรฉes ou des parties de confiance, incitant les destinataires ร  dรฉclencher par inadvertance la charge utile de cryptominage.

Types de cryptojacking

Il existe plusieurs mรฉthodes de cryptojacking, chacune exploitant diffรฉrentes mรฉthodes de distribution, de persistance et de consommation de ressources.

Cryptojacking basรฉ sur des fichiers

Cette mรฉthode repose sur le dรฉploiement de fichiers malveillants traditionnels sur le systรจme d'une victime. Voici les caractรฉristiques du cryptojacking basรฉ sur des fichiers :

  • Exรฉcutables malveillants. Les attaquants encapsulent les composants de cryptominage dans des programmes d'installation trompeurs ou des mises ร  jour de logiciels trojanisรฉes.
  • Mรฉcanismes de persistance. Le logiciel malveillant peut configurer des tรขches planifiรฉes, modifier les entrรฉes de registre ou altรฉrer les scripts de dรฉmarrage pour se relancer automatiquement.
  • Techniques d'obscurcissement. Des techniques telles que le packaging de code ou chiffrement masquer les fonctions miniรจres, empรชchant une dรฉtection rapide par les moteurs antivirus.
  • Fonctionnalitรฉs de gestion des ressources. Certains logiciels malveillants ajustent l'intensitรฉ de l'exploitation miniรจre temps rรฉel pour รฉviter de gรฉnรฉrer des alertes ou un ralentissement notable des performances.

Cryptojacking basรฉ sur un navigateur

Le cryptojacking basรฉ sur un navigateur exploite principalement les technologies de script Web pour exploiter la puissance de calcul. Voici en quoi cette mรฉthode diffรจre des mรฉthodes basรฉes sur des fichiers :

  • Aucune installation directe. Les attaquants n'ont pas besoin d'installer de fichiers sur la machine de la victime. JavaScript s'exรฉcute immรฉdiatement lorsqu'un utilisateur visite une page infectรฉe.
  • Exรฉcution ร  la volรฉe. Le processus d'extraction s'arrรชte une fois l'onglet ou la fenรชtre fermรฉ, ร  moins que des scripts contextuels ou persistants spรฉcialisรฉs continuent de s'exรฉcuter.
  • Exigences en matiรจre dโ€™interaction utilisateur. Nรฉcessite gรฉnรฉralement que la victime accรจde ร  un site ou ร  une publicitรฉ compromis.
  • Attribution contestable. Les scripts malveillants proviennent souvent de rรฉseaux publicitaires tiers ou de fichiers cachรฉs. iFrames, ce qui complique lโ€™enquรชte sur la vรฉritable source.

Cloud Cryptojacking

Cloud cibles du cryptojacking virtualisรฉ environnements et exploite les pratiques de dรฉploiement modernes. Voici un aperรงu :

  • Accรจs via des identifiants volรฉs. Les attaquants se connectent ร  cloud plateformes utilisant des informations d'identification divulguรฉes ou faibles, crรฉant de grandes instances optimisรฉes pour le cryptomining.
  • Mauvaises configurations et comptes surprivilรฉgiรฉs. Mal gouvernรฉ gestion des identitรฉs et des accรจs permettre aux attaquants d'รฉlever leurs privilรจges et de gรฉnรฉrer des attaques illimitรฉes conteneurs ou machines virtuelles.
  • Impact financier รฉlevรฉ. Lโ€™organisation victime paie la facture de lโ€™utilisation excessive des infrastructures.
  • Persistance avancรฉe. Certains attaquants intรจgrent des modifications au niveau du conteneur, des injections de scripts dans Images Docker, ou des cryptomineurs cachรฉs dans des รฉphรฉmรจres les charges de travail qui sont difficiles ร  dรฉtecter.

Cryptojacking de l'IoT

IdO Le cryptojacking capitalise sur la posture de sรฉcuritรฉ gรฉnรฉralement minimale et les ressources limitรฉes des appareils connectรฉs :

  • Logiciel malveillant lรฉger. Les attaquants dรฉveloppent des scripts de minage optimisรฉs pour les puces basse consommation prรฉsentes dans les environnements IoT.
  • Potentiel de botnet. De grands essaims dโ€™appareils IoT infectรฉs gรฉnรจrent collectivement des revenus miniers ร  grande รฉchelle.
  • Contrรดles de sรฉcuritรฉ limitรฉs. Legacy protocoles, peu frรฉquents firmware les mises ร  jour et les informations d'identification par dรฉfaut laissent les appareils IoT exposรฉs.
  • Dรฉploiement ร  long terme. Les cryptomineurs IoT restent souvent en fonctionnement jusqu'ร  une panne de l'appareil ou une mise ร  jour importante du micrologiciel, car les propriรฉtaires surveillent rarement l'utilisation des ressources.

Exemples d'attaques de cryptojacking

Vous trouverez ci-dessous une liste dโ€™incidents rรฉels de cryptojacking qui illustrent comment les attaquants sโ€™infiltrent dans les systรจmes, manipulent les configurations et exploitent les ressources.

Le public de Tesla Cloud Cryptojacking

En 2018, des chercheurs en sรฉcuritรฉ ont dรฉcouvert que des attaquants avaient compromis l'environnement Amazon Web Services (AWS) de Tesla. Les attaquants ont infiltrรฉ une console d'administration non sรฉcurisรฉe et installรฉ un logiciel de cryptomining sur une console mal configurรฉe. Kubernetes Les mesures furtives comprenaient la dissimulation de l'adresse du pool minier derriรจre Cloudservices Flare, ce qui rend la dรฉtection plus difficile. Les ingรฉnieurs de Tesla ont finalement remarquรฉ une utilisation inhabituelle des ressources, ce qui a conduit ร  une enquรชte interne qui a rรฉvรฉlรฉ l'incident de cryptojacking.

Le mineur basรฉ sur le navigateur The Pirate Bay

Le site d'indexation de torrents The Pirate Bay a รฉtรฉ surpris ร  exรฉcuter un script Coinhive qui exploitait la puissance du processeur des utilisateurs pour le minage de cryptomonnaies. Les opรฉrateurs du site ont initialement mis en ล“uvre le script sans avertir les visiteurs, ce qui a suscitรฉ une vive opposition de la part de la communautรฉ des utilisateurs concernant l'utilisation non annoncรฉe des ressources. L'incident a suscitรฉ une large attention mรฉdiatique, dรฉclenchant des dรฉbats sur la question de savoir si l'exรฉcution de scripts de minage de cryptomonnaies pouvait servir d'alternative aux modรจles traditionnels de publicitรฉ en ligne.

Publicitรฉs YouTube diffusant du code de cryptojacking

Dรฉbut 2018, des publicitรฉs malveillantes diffusรฉes sur YouTube comportaient des mineurs JavaScript cachรฉs. Les attaquants achetaient des espaces publicitaires et dissimulaient des charges utiles de cryptominage dans des publicitรฉs apparemment anodines. Les spectateurs qui ont vu ces publicitรฉs ont constatรฉ une augmentation de l'utilisation du processeur, ce qui indique que le code de cryptominage รฉtait exรฉcutรฉ dans leur navigateur. Les รฉquipes de sรฉcuritรฉ de Google ont finalement bloquรฉ les publicitรฉs incriminรฉes et supprimรฉ les comptes d'annonceurs associรฉs.

Cryptojacking via navigateur dans le Wi-Fi de Starbucks

En 2017, des clients d'un cafรฉ Starbucks se sont plaints de pics soudains de performances du processeur lorsqu'ils รฉtaient connectรฉs au Wi-Fi gratuit du cafรฉ. L'enquรชte a montrรฉ qu'un script malveillant avait รฉtรฉ insรฉrรฉ dans le portail d'authentification du rรฉseau, ce qui a amenรฉ les appareils des visiteurs ร  miner de la cryptomonnaie en arriรจre-plan. Le fournisseur d'accรจs Internet qui exploitait le point d'accรจs Starbucks a finalement supprimรฉ le script aprรจs que des experts en sรฉcuritรฉ ont rendu public le problรจme.

Comment dรฉtecter le cryptojacking ?

Voici les mรฉthodes pour repรฉrer les indicateurs de cryptojacking :

  • Analyse des performances du systรจme. Des pรฉriodes prolongรฉes d'utilisation intensive du processeur ou du processeur graphique en dehors des heures de pointe sont des indices potentiels d'une activitรฉ de cryptomining. Les outils de surveillance automatisรฉs, notamment les tableaux de bord de performances en temps rรฉel, peuvent isoler les anomalies qui s'รฉcartent des normes รฉtablies.
  • Surveillance du trafic rรฉseau. Le cryptojacking repose sur des connexions sortantes vers des pools miniers ou gรฉrรฉs par des attaquants. servers. Vous pouvez utiliser les journaux de flux rรฉseau, systรจmes de prรฉvention des intrusionset des filtres de renseignement sur les menaces pour dรฉtecter les connexions suspectes. Des pics inhabituels DNS requรชtes ร  des inconnus domaines ou les pools miniers sont de forts indicateurs dโ€™activitรฉ de cryptojacking.
  • Analyse des outils de sรฉcuritรฉ. Les solutions de protection des terminaux incluent souvent des signatures dรฉdiรฉes ou des heuristiques adaptรฉes aux logiciels malveillants de cryptomining. Des analyses antivirus rรฉguliรจres, basรฉes sur l'hรดte systรจmes de dรฉtection d'intrusion Les plateformes de dรฉtection et de rรฉponse aux points d'extrรฉmitรฉ (HIDS) et de dรฉtection et de rรฉponse aux points d'extrรฉmitรฉ (EDR) permettent d'identifier les processus suspects. Des mises ร  jour frรฉquentes de ces outils sont nรฉcessaires pour dรฉtecter les variantes รฉmergentes de cryptojacking.
  • Inspection du navigateur. Lorsque le cryptojacking est basรฉ sur un navigateur, la vรฉrification des onglets ouverts ou des consoles de dรฉveloppement fournit des preuves de scripts malveillants. Scripts non autorisรฉs intรฉgrรฉs dans un site Web code source, une utilisation inhabituellement รฉlevรฉe du processeur liรฉe ร  un onglet spรฉcifique ou des extensions de navigateur avec des autorisations douteuses sont des indicateurs courants d'un script de cryptojacking.
  • Corrรฉlation des journaux et des รฉvรฉnements. Solutions de gestion centralisรฉe des journaux, telles que Plateformes SIEM, corrรฉler les รฉvรฉnements provenant de plusieurs sources (systรจmes d'exploitation, appareils rรฉseau et outils de sรฉcuritรฉ). Les analystes qui appliquent des rรจgles de corrรฉlation axรฉes sur les lancements de processus anormaux, les comptes d'utilisateurs nouvellement crรฉรฉs ou les tentatives de connexion infructueuses rรฉpรฉtรฉes peuvent dรฉcouvrir des tentatives de cryptojacking.

Comment prรฉvenir le cryptojacking ?

La prรฉvention du cryptojacking nรฉcessite un mรฉlange de mises ร  jour logicielles, de gestion de la configuration et de formation des utilisateurs. Vous trouverez ci-dessous une introduction aux mesures essentielles qui renforcent les dรฉfenses contre les attaques de cryptomining.

1. Mettre en ล“uvre les mises ร  jour du logiciel et du micrologiciel

Les correctifs de sรฉcuritรฉ et les mises ร  niveau du micrologiciel neutralisent les vulnรฉrabilitรฉs exploitรฉes par les cryptojackers. gestion des correctifs assure tous les environnementsโ€”sur place, cloud, ou mobile, restez ร  jour. Les systรจmes obsolรจtes manquent de protection contre les exploits divulguรฉs publiquement utilisรฉs pour le dรฉploiement du cryptojacking.

2. Utilisez des extensions de navigateur ou des bloqueurs de scripts

Blocage de script extensions, les modules complรฉmentaires axรฉs sur la confidentialitรฉ et les fonctionnalitรฉs intรฉgrรฉes du navigateur (comme la dรฉsactivation de JavaScript pour les sites non fiables) rรฉduisent considรฉrablement l'exposition. Les bloqueurs de publicitรฉs configurรฉs pour bloquer le cryptomining connu URL attรฉnuer davantage les attaques potentielles qui sโ€™appuient sur des scripts publicitaires malveillants.

3. Renforcez les filtres de courrier รฉlectronique et Web

Filtrage avancรฉ des e-mails, bac ร  sable Les piรจces jointes et l'analyse des URL en temps rรฉel bloquent les e-mails de phishing ou les liens vers des sites Web compromis. Les organisations adoptent souvent des solutions de filtrage DNS qui interceptent les tentatives de rรฉsolution de domaines malveillants, empรชchant ainsi le chargement des sites de cryptojacking.

4. Amรฉliorer la protection des terminaux

Antivirus de nouvelle gรฉnรฉration et les solutions EDR offrent une analyse comportementale et une analyse de la mรฉmoire pour les modรจles de cryptomining. Certains produits limitent ou interrompent les processus qui prรฉsentent des caractรฉristiques cohรฉrentes avec les cryptomineurs, comme une utilisation รฉlevรฉe continue du processeur sans rapport avec des opรฉrations lรฉgitimes connues.

5. Garantir Cloud Environnements

Sรฉcurisation cloud Les plateformes impliquent une forte gestion des identitรฉs et des accรจs (JE SUIS), segmentation du rรฉseau, la sรฉcuritรฉ des conteneurs et lโ€™analyse de la charge de travail. Administrateurs systรจme devrait intรฉgrer des alertes d'utilisation des ressources qui informent les รฉquipes des pics anormaux d'utilisation du processeur. La journalisation et la surveillance ร  grande รฉchelle peuvent contrecarrer le cryptojacking dans Kubernetes ou Docker รฉcosystรจmes.

6. Former le personnel

Hameรงonnage, ingรฉnierie socialeLes piรจces jointes malveillantes et les fichiers joints restent les principaux mรฉcanismes de diffusion des programmes malveillants de cryptojacking. Des formations rรฉguliรจres en cybersรฉcuritรฉ mettent en รฉvidence les tactiques utilisรฉes par les adversaires, en demandant aux employรฉs d'examiner les sources de courrier รฉlectronique et d'รฉviter de cliquer sur des liens suspects ou d'activer des macros dans des fichiers inconnus.

Comment supprimer le cryptojacking ?

Voici comment neutraliser les infections de cryptojacking :

Identifier la source de l'infection

Utilisez les analyses systรจme, les journaux rรฉseau et les mesures de performances pour traquer les processus de cryptomining. Les enquรชtes peuvent rรฉvรฉler des exรฉcutables malveillants, des scripts ou des comptes d'utilisateurs suspects crรฉรฉs par des attaquants. L'identification des appareils patients-zรฉro vous aide ร  comprendre le processus initial vecteur d'attaque et contenir toute propagation ultรฉrieure.

Mettre fin aux processus malveillants

Il est essentiel de mettre fin aux sessions de minage actives pour minimiser les dommages en cours. Isolez les machines infectรฉes du rรฉseau en interrompant les processus de cryptojacking ร  l'aide de commandes du systรจme d'exploitation, de consoles de logiciels de sรฉcuritรฉ ou de terminaisons de service manuelles. Le confinement immรฉdiat permet d'empรชcher les attaquants de contrรดler les points de terminaison compromis.

Supprimer les fichiers ou scripts malveillants

Le cryptojacking basรฉ sur des fichiers dรฉpose souvent des exรฉcutables ou des bibliothรจques dynamiques dans des rรฉpertoires cachรฉs. Localisez-les ร  l'aide d'outils d'analyse mรฉdico-lรฉgale, de recherches basรฉes sur le hachage ou d'analyses antivirus. Une fois identifiรฉs, supprimez ou mettez en quarantaine les objets malveillants. Le cryptojacking basรฉ sur un navigateur peut nรฉcessiter la dรฉsinstallation d'extensions, la suppression de fichiers malveillants et la suppression de fichiers malveillants. caches, ou supprimer le code injectรฉ des modรจles de site.

Reconstruire ou restaurer les systรจmes compromis

La rรฉimagerie des appareils affectรฉs garantit un nettoyage complet de tous les composants de cryptojacking persistants. servers s'appuient gรฉnรฉralement sur des informations ร  jour backups pour rรฉtablir rapidement les opรฉrations. Confirmer l'intรฉgritรฉ de backup images ou instantanรฉs avant de les redรฉployer dans environnements de production.

Renforcer les contrรดles de sรฉcuritรฉ

Les incidents de cryptojacking mettent en รฉvidence les zones oรน la posture de sรฉcuritรฉ est inadรฉquate. Affinez votre cadence de correctifs, renforcez les configurations et limitez les privilรจges administratifs. Pour empรชcher les cryptojackers de reprendre pied, rรฉvisez rรฉguliรจrement votre pare-feu rรจgles, politiques de segmentation du rรฉseau et paramรจtres de prรฉvention des intrusions.

Surveillance et tests continus

Routine รฉvaluations de la vulnรฉrabilitรฉ, tests de pรฉnรฉtration, et les revues de journaux centralisรฉes sont essentielles pour anticiper les nouvelles tactiques de cryptojacking. Utilisez des analyses en temps rรฉel renseignements sur les menaces et des systรจmes de dรฉtection d'anomalies qui signalent les tendances suspectes. Des audits continus garantissent que les failles prรฉcรฉdentes restent corrigรฉes, rรฉduisant ainsi considรฉrablement les risques de cryptojacking ร  long terme.

Nikola
Kostique
Nikola est un รฉcrivain chevronnรฉ passionnรฉ par tout ce qui touche ร  la haute technologie. Aprรจs avoir obtenu un diplรดme en journalisme et en sciences politiques, il a travaillรฉ dans les secteurs des tรฉlรฉcommunications et de la banque en ligne. J'รฉcris actuellement pour phoenixNAP, il se spรฉcialise dans la rรฉsolution de problรจmes complexes liรฉs ร  l'รฉconomie numรฉrique, au commerce รฉlectronique et aux technologies de l'information.