Blog - article

Sorry, this blog post has not been posted yet. Come back and check again later!

L'explosion alarmante du minage de cryptomonnaie sur les campus universitaires

By:
Christophe Jolly
April 6, 2018

En 2017, pendant que les ransomwares NotPetya et WannaCry faisaient les gros titres et raflaient d'importantes sommes d'argent, le minage de cryptomonnaie progressait, lentement mais sûrement, au classement des comportements opportunistes à visées financières.

Le message reddit ci-dessous révèle l'ampleur du problème auquel font face les universités. Sur les campus, certains étudiants particulièrement entreprenants minent des cryptomonnaies au moyen d'ordinateurs de pointe ou d'armées de botnets.

Où le minage de cryptomonnaie est-il le plus répandu?

La flambée du cours des cryptomonnaies telles que le bitcoin, l'ethereum et le monero s'est accompagnée d'une hausse du nombre d'ordinateurs sur les campus universitaires exécutant des tâches de minage, ou piratés par des cryptomineurs pour traiter des hachages de cryptomonnaie.

Une étude de Vectra s'est (notamment) intéressée aux cinq principaux secteurs d'activité manifestant des comportements d'attaque liés au minage de cryptomonnaie pendant la période allant d'août2017 à janvier2018. Ses analyses révèlent que le secteur de l'enseignement supérieur surpasse très largement les quatre autres secteurs combinés.

Pourquoi les universités?

Le minage de cryptomonnaie nécessite une énorme puissance de calcul et, à ce titre, transforme l'électricité en valeur monétaire. Ce processus est très onéreux. De là, l'intérêt de posséder une source gratuite d'électricité et un grand nombre de ressources informatiques connectées à Internet et soumises à très peu de contrôles de sécurité. La population estudiantine constitue donc une cible idéale pour les cryptomineurs pirates.

Les grandes entreprises appliquent des contrôles de sécurité rigoureux pour prévenir les comportements de minage. Les universités n'ont pas ce luxe. Au mieux, elles peuvent aider les étudiants à se protéger et à protéger l'université en leur conseillant d'installer des correctifs de système d'exploitation et en les sensibilisant aux e-mails de phishing, aux sites Web douteux et aux publicités Web suspectes.

Les étudiants mineurs ne font que tirer profit de la flambée du cours des cryptomonnaies au cours de l'année écoulée, qui a vu la valeur du bitcoin atteindre 19000dollars (source: Coinbase) en janvier2018. Même au cours actuel de 9000dollars par bitcoin, le minage reste une opération lucrative.

Le nombre d'ordinateurs qui traitent des hachages de cryptomonnaie sur les campus universitaires a augmenté juste avant que la valeur du bitcoin dépasse les 4000dollars en2017. Les graphiques ci-dessous illustrent l'augmentation des activités de minage de cryptomonnaie 30jours avant la hausse du cours du bitcoin.

Augmentation des détections relatives au minage de cryptomonnaie, avant la flambée du cours du bitcoin

Même lorsque le bitcoin a perdu 50% de sa valeur record et est passé sous le seuil des 10000dollars, le nombre d'ordinateurs exécutant des tâches de minage de cryptomonnaie n'a pas diminué.

Malheureusement, lorsqu'un étudiant ou un cybercriminel exploite une opportunité, l'université doit payer la facture d'électricité et assumer l'exposition à d'autres risques potentiels. Contrairement à ce que semble croire l'étudiant auteur de la publication sur reddit, l'électricité n'est pas gratuite.

Quels sont les dangers?

Le minage de cryptomonnaie est un comportement d'attaque opportuniste qui a recours à des botnets pour créer un vaste réservoir de puissance de calcul. Il est davantage considéré comme une nuisance qu'une cyberattaque ciblée susceptible de mettre en péril les informations d'identification personnelle (PII), les informations médicales protégées (PHI) ou les données financières. Néanmoins, dans certains cas, les activités de ces botnets constituent un risque élevé:

  • Elles génèrent du bruit parasite susceptible de masquer les problèmes de sécurité graves.
  • Elles affectent la réputation de l'adresseIP d'une organisation, entraînant son placement sur liste noire.
  • Les cybercriminels achètent l'accès aux ordinateurs compromis auprès des cryptomineurs pirates afin de lancer des attaques ciblées contre les universités.

Si les utilisateurs installent intentionnellement un logiciel de minage, le risque peut être limité, mais il arrive aussi qu'ils installent d'autres logiciels générateurs de revenus présentant de plus grands risques.

Le minage de cryptomonnaie exige énormément de puissance de calcul. Le traitement des blocs de cryptomonnaie entraîne une usure accrue des systèmes infectés, et un ralentissement anormal de leurs performances.

Bien que les malwares de cryptominage ne ciblent pas les particuliers, il arrive que des cybercriminels infectent des systèmes dotés d'un processeur graphique ou d'une carte graphique hautes performances. Ce parasitage permet d'accélérer les hachages très gourmands utilisés par les cryptomonnaies telles que le bitcoin. Les joueurs et autres utilisateurs d'applications à forte consommation de ressources graphiques représentent des cibles particulièrement intéressantes.

Envolée du cryptominage pirate

Le nombre limité d'ordinateurs dotés de processeurs graphiques haut de gamme a engendré un nouveau type de minage de cryptomonnaie, via le navigateur, qui tire parti de la puissance des processeurs ordinaires. Appelée cryptominage pirate, cette opération ne nécessite l'installation d'aucun programme et peut être initiée en visitant simplement un site Web.

Lors du lancement de Coinhive en septembre2017, à l'origine de l'envolée du cryptominage pirate, l'Internet s'est transformé en champ de bataille pour les mineurs de cryptomonnaie par navigateur. De nouveaux sites offrant des services similaires apparaissent chaque semaine, permettant aux mineurs de générer la cryptomonnaie monero.

Le minage de moneros en arrière-plan d'un site Web peut offrir une alternative viable aux publicités intrusives, mais pratiquement aucun de ces services ne permet aux utilisateurs de savoir ce qui se passe ou de bloquer le comportement de minage. La plupart d'entre eux se comportent comme des malwares: ils prennent secrètement le contrôle de l'ordinateur et en utilisent les ressources sans autorisation.

Impact du minage de cryptomonnaie

Le minage de cryptomonnaie est mesuré par le nombre de tentatives d'identification d'un bloc qu'un mineur peut effectuer. Chaque tentative consiste à créer un bloc candidat unique, ainsi qu'une empreinte (valeur de sortie) du bloc candidat à l'aide du hachage SHA-256d. (Les hachages cryptographiques sont mesurés en hachages par seconde, h/s.)

Depuis septembre2017, le minage de moneros par navigateur a explosé. Le minage de moneros repose sur le calcul de hachages à l'aide d'un algorithme appelé CryptoNight. Cet algorithme nécessite une grande puissance de calcul, mais s'exécute parfaitement sur les processeurs grand public, malgré leur lenteur.

L'algorithme CryptoNight peut être exécuté sur un processeur graphique, mais le gain (2x) est nettement inférieur à celui obtenu d'autres algorithmes utilisés par Bitcoin ou Ethereum (10000x). CryptoNight constitue une cible idéale pour JavaScript et les navigateurs car il est relativement simple de créer un script capable de gérer un grand nombre de systèmes pour le minage distribué.

Lorsqu'il est exécuté via JavaScript, les performances de minage sont affectées mais restent acceptables. Le mineur s'appuie sur WebAssembly, avec environ 65% des performances d'un mineur natif. Un processeur Inteli7, l'un des processeurs pour poste de travail les plus rapides, génère environ 90h/s. Un mineur natif produit quant à lui 140h/s. Le minage basé sur le processeur est suffisant pour les botnets.

Selon un calculateur de performances de minage de moneros, une vitesse de 90h/s sur 812équipements qui minent 24h sur 24 et 7jours sur 7 produit les résultats suivants:

Ce qu'il faut retenir

Le cryptominage pirate et le minage de cryptomonnaie représentent des opérations opportunistes rentables, que les individus tentés par l'argent facile privilégieront probablement de plus en plus au détriment des ransomwares et adwares.

Pour en savoir plus sur les autres types de comportements d'attaque identifiés dans les environnements d'entreprise, de centre de données et de cloud, téléchargez le rapport Tendances des comportements d'attaque en entreprise de Vectra, édition RSAConference2018.

{{cta('049ba8c3-ebb9-4e1f-847d-fc282b302799')}}

About the author

Christophe Jolly

Christophe Jolly is a Country Manager at Vectra AI. Christophe has strong experience as a technical and senior sales team manager in IT Security domain. Before joining Vectra, he held a Country Manager Security role at Cisco for three years. Prior to Cisco, he was a Regional Sales Manager at Sourcefire. He received a bachelors degree in electrical and electronics engineering from Université de Reims Champagne-Ardenne and a engineering, IT security degree from Télécom SudParis.

Author profile and blog posts

Most recent blog posts from the same author

Cybersecurity

Le grand défaut des SIEM: pas de délit sans preuves

November 10, 2017
Read blog post
Threat detection

L'explosion alarmante du minage de cryptomonnaie sur les campus universitaires

April 6, 2018
Read blog post
Breach

L’analyse comportementale, dernière pierre à l’édifice

February 26, 2018
Read blog post