Cryptojacking : comment dissuader les mineurs de cryptomonnaies ?

Dans quelle mesure le réseau d’une entreprise est-il protégé contre le piratage par cryptojacking ? C’est la question que toute entreprise devrait se poser avant que cela ne lui coûte trop cher.

Récemment une étude a révélé qu’un pic inquiétant de malware d’un nouveau genre venait menacer les logiciels de la « National Security Agency » (NSA) pour compromettre les réseaux des entreprises. Surnommé Beapy, ce malware permet aux mauvais acteurs d'enrôler des ordinateurs infectés pour «miner» de la cryptomonnaie. Ce processus est plus particulièrement connu sous le nom de cryptojacking.

Selon les chercheurs, il y aurait depuis mars dernier plus de 12 000 infections uniques causées par « Beapy » dans plus de 700 entreprises depuis mars seulement. Les cryptomineurs ciblent généralement les entreprises en raison de leur grand nombre d'ordinateurs qui, lorsqu'ils sont infectés, peuvent produire de grandes quantités de crypto-monnaie dans un laps de temps assez court. La menace « Beapy » est propagée par le biais de courriels malveillants spécialement conçus à cet effet. Le virus crée une porte dérobée persistante sur l'ordinateur infecté conçu pour se propager latéralement à travers le réseau de l'entreprise, en utilisant les mêmes exploitations de la NSA qui ont facilité le chaos de WannaCry en 2017.

Une observation s’est également faite dans la façon dont le malware s’introduit dans les réseaux d’entreprise.  Il s’agit des mots de passe. En utilisant Mimikatz, (un outil open source qui peut exposer les identifiants de connexion des utilisateurs), Beapy peut détecter les mots de passe saisis sur un ordinateur infecté pour prendre le contrôle du réseau de l'entreprise. Cela met en évidence une préoccupation inquiétante pour les entreprises : un seul périphérique infecté sur un réseau d'entreprise suffit à un hackeur pour lancer une opération majeure de cryptojacking.

Beapy est le dernier-né d'un nombre croissant de différents virus de cryptomonnaie ciblant les entreprises du monde entier et malheureusement cela n’est pas près de s’arrêter. Ce type de fichier basé sur le cryptojacking est plus rapide, plus efficace et plus lucratif que l'exploitation des vulnérabilités d'un site web. Avec plus d'un million d'ordinateurs vulnérables aux attaques, les entreprises doivent placer la protection d’une façon sécurisée avec des systèmes d’authentification qui doivent se placer en tête de liste des priorités.

Utiliser le même mot de passe pour plusieurs systèmes de cloud ou sur site est dangereux car si l'un d'eux est compromis, un acteur malveillant possède également les identifiants de connexion pour une foule d'autres systèmes.

Il est possible d’éliminer ce fardeau en offrant le single sign-on (SSO) aux services cloud afin que les utilisateurs n'aient pas à remplir plusieurs connexions ou à mémoriser plusieurs mots de passe. Cela réduit considérablement la probabilité de réduction de malware liés aux mots de passe et qui puissent compromettre les informations d'identification.

Les entreprises peuvent aujourd’hui exploiter une identité unique pour s'authentifier sur les systèmes d'entreprise - localement ou à distance - avec l'événement d'authentification se produisant en toute sécurité derrière le pare-feu réseau. Cela signifie que les utilisateurs n'ont plus besoin de synchroniser leurs identifiants en dehors du réseau, ils peuvent simplement accéder aux systèmes et services à partir de n'importe quel appareil de leur choix.

Cette capacité augmente considérablement la productivité des employés en leur permettant d'utiliser leurs appareils personnels au travail (BYOD) et à la maison pour accéder aux systèmes dont ils ont besoin pour être plus productifs tout en réduisant les risques pour la sécurité globale.

Un service d'authentification unique facilite également le verrouillage d'un utilisateur qui ne devrait plus avoir accès à des systèmes sensibles. En effet celui-ci peut être automatiquement supprimé du serveur UEM et se voir refuser instantanément la possibilité de se connecter. Dans l'ensemble, un environnement plus sûr est créé lorsque les informations d'identification réseau d'une entreprise sont gérées par une seule équipe de sécurité réseau.

A travers les virus Beapy, un constat montre à quel point l'authentification par SMS ou par e-mail à deux facteurs (2FA) peut être une faille. C'est la technique que la plupart des systèmes de cloud computing utilisent actuellement comme deuxième sécurité intégrée. En revanche, c'est une configuration intrinsèquement « hackable ». Les entreprises doivent s'assurer qu'elles disposent d'une authentification « utilisateur » simple et hautement sécurisée qui protège tous les systèmes critiques et qu'elles utilisent une authentification directe basée sur un certificat afin que les données soient cryptées pendant leur transfert vers les téléphones. Les mots de passe devenant de plus en plus vulnérables avec l'augmentation du nombre de terminaux, il est impératif d’avoir une authentification sécurisée à deux facteurs qui cherche à protéger le réseau contre les cybermenaces en perpétuelle évolution.

Une fois que les employés ont enregistré un ou plusieurs appareils mobiles, ils peuvent accéder en toute sécurité aux systèmes critiques en entrant simplement leur mot de passe habituel et en cliquant sur " OK " sur un appareil mobile enregistré. Cette expérience d'un seul clic élimine les frustrations liées à d'autres processus d'authentification encombrants et la nécessité pour les utilisateurs de se rappeler leur NIP, de transporter des dispositifs supplémentaires ou de transcrire manuellement des mots de passe ou des codes d'authentification.

Bien que le piratage cryptojacking soit l'un des cybercrimes les plus répandus aujourd’hui, il peut considérablement endommager le réseau, en ralentissant les ordinateurs et en créant une dégradation des périphériques. Pour lutter contre cette menace telle que Beapy, les entreprises doivent agir rapidement pour sécuriser leurs points finaux et protéger les réseaux critiques.