1 000 systèmes d’entreprise infectés par Monero Mining Malware

1 000 systèmes d’entreprise infectés par Monero Mining Malware

Crypto diversification

Le gang de malwares Blue Mockingbird a infecté plus de 1000 systèmes d’entreprise avec le logiciel malveillant Monero mining depuis décembre 2019.

L’ampleur mondiale des opérations du groupe de hackers a été révélée par la société de sécurité cloud Red Canary le 26 mai.

Le rapport décrit la méthodologie du groupe. Le malware attaque les serveurs exécutant des applications ASP.NET et exploite une vulnérabilité pour installer un shell Web sur l’ordinateur attaqué et obtenir un accès de niveau administrateur pour modifier les paramètres du serveur.

Ensuite, les cybercriminels installent l’application XMRRig pour profiter des ressources des machines infectées. La plupart des ordinateurs infectés appartiennent à de grandes entreprises, bien que Red Canary n’ait révélé aucun nom.

Vulnérabilités de Remote Desktop Protocol

Comme pour les récentes attaques de ransomwares utilisant des chevaux de Troie, les criminels ont profité de la faiblesse du protocole Remote Desktop dans Windows pour pénétrer les systèmes.

Le rapport souligne que bien qu’il soit difficile de quantifier le nombre total d’infections, ces attaques se sont produites dans un laps de temps relativement court.

Red Canary prévient également que les entreprises qui se croient à l’abri de telles attaques courent en fait un risque élevé de voir leur sécurité violée par l’infection par un logiciel malveillant.

S’adressant à Crypto, Brett Callow, analyste des menaces au laboratoire de logiciels malveillants Emsisoft, a commenté les vulnérabilités actuelles des systèmes à de telles attaques:

«Les cybercriminels recherchent spécifiquement les faiblesses des systèmes accessibles sur Internet et, lorsqu’ils sont trouvés, les exploitent. Les entreprises peuvent réduire considérablement leur facteur de risque en suivant les meilleures pratiques bien établies telles que les correctifs en temps opportun, l’utilisation de MFA, la désactivation de PowerShell lorsque cela n’est pas nécessaire, etc. il est plus probable qu’une entreprise connaisse un crypto-mining, un ransomware, une exfiltration de données ou un autre événement de sécurité. »

Attaques récentes liées à XMRRig

L’utilisation de l’application XMRRig pour le cryptage minier non autorisé est un phénomène récent qui a été utilisé par divers groupes de pirates.

Crypto a rapporté en novembre 2019 qu’un malware ciblait des instances Docker vulnérables pour déployer l’application de minage Monero.

La même année, des rapports publiés par les sociétés de cybersécurité Symantec et BlackBerry Cylance ont mis en garde contre l’injection de l’application XMRRig dans les ordinateurs via des fichiers musicaux.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *