Un homme de 29 ans en Ukraine a été arrêté cette semaine pour avoir utilisé des comptes piratés pour créer 1 million de serveurs virtuels utilisés pour extraire 2 millions de dollars en crypto-monnaie.
Comme annoncé aujourd’hui par Europol, le suspect serait le cerveau derrière un stratagème de cryptojacking à grande échelle qui consiste à détourner des ressources de cloud computing pour le crypto-minage.
En utilisant les ressources informatiques des serveurs des autres pour exploiter la crypto-monnaie, les cybercriminels peuvent en tirer profit aux dépens des organisations compromises, dont les performances du processeur et du processeur graphique sont dégradées par l’exploitation minière.
Pour les compromis sur site, les dommages s’étendent à devoir payer pour une consommation d’énergie accrue, généralement générée par les mineurs.
Un rapport de 2022 de Sysdig a estimé les dommages causés par le cryptojacking à environ 53 dollars pour chaque dollar de Monero (XMR) que les cybercriminels exploitent sur des appareils détournés.
Europol dit qu’ils ont appris pour la première fois l’attaque de cryptojacking en janvier 2023 par un fournisseur de services cloud qui enquêtait sur des comptes cloud compromis sur leur plate-forme.
Europol, la police ukrainienne et le fournisseur de cloud computing ont travaillé ensemble pour développer des renseignements opérationnels qui pourraient être utilisés pour retrouver et identifier le pirate informatique.
La police a déclaré avoir arrêté le pirate informatique le 9 janvier, lorsqu’elle a saisi du matériel informatique, des cartes bancaires et SIM, des supports électroniques et d’autres preuves d’activités illégales.
Un rapport séparé de la cyberpolice ukrainienne explique que le suspect est actif depuis 2021 lorsqu’il a utilisé des outils automatisés pour forcer brutalement les mots de passe de 1500 comptes d’une filiale de l’une des plus grandes entités de commerce électronique au monde.
Europol et l’Ukraine n’ont pas identifié la société de commerce électronique ni sa filiale.
L’auteur de la menace a ensuite utilisé ces comptes pour accéder aux privilèges administratifs, qui ont été utilisés pour créer plus d’un million d’ordinateurs virtuels à utiliser dans le schéma de minage de chiffrement.
Les autorités ukrainiennes ont confirmé que le suspect utilisait des portefeuilles de crypto-monnaie TON pour déplacer les produits illégaux, avec des transactions équivalant à environ 2 millions de dollars.
L’individu arrêté fait maintenant face à des accusations criminelles en vertu de la partie 5 de l’article 361 (ingérence non autorisée dans le travail d’information, de communication électronique, de réseaux de communication électronique) du Code pénal ukrainien.
Atténuer le risque
Les acteurs de la menace ciblent généralement les services cloud pour détourner des ressources informatiques à des fins d’extraction illégale de crypto-monnaie.
Les méthodes de défense contre les attaques de cryptojacking incluent la surveillance des activités inhabituelles telles que les pics inattendus d’utilisation des ressources, la mise en œuvre de systèmes de protection des terminaux et de détection des intrusions, et la limitation des privilèges administratifs et de l’accès aux ressources critiques uniquement à ceux qui en ont besoin.
Les cryptojackers exploitent souvent les failles documentées des plates-formes cloud pour parvenir à un compromis initial. Ainsi, l’application régulière des mises à jour de sécurité disponibles sur tous les logiciels est cruciale pour protéger les systèmes contre les menaces externes.
Enfin, tous les comptes administratifs doivent avoir 2FA activé au cas où leurs informations d’identification seraient volées.