Un écosystème criminel de crypto-minage de plusieurs millions de dollars a été découvert

Mme Tech ; Photo : Pixabay





Les crypto-monnaies sont devenues des aimants pour les activités illicites telles que le vol et la fraude. Mais l'un des crimes les moins signalés est l'utilisation de la puissance de traitement volée pour extraire des devises telles que Bitcoin et Monero. Le produit de ce vol peut ensuite être échangé contre de l'argent réel, récoltant de vastes récompenses pour les acteurs malveillants.

Quelle est l'étendue de ces réseaux miniers illicites et combien d'argent rapportent-ils ?

Aujourd'hui, nous obtenons une réponse grâce aux travaux de Sergio Pastrana à l'Université Charles III de Madrid en Espagne et de Guillermo Suarez-Tangil au King's College de Londres. Ces gars-là ont analysé ces réseaux en détail pour la première fois et disent qu'ils génèrent des choix beaucoup plus riches que quiconque ne l'avait imaginé.



Pastrana et Suarez-Tangil estiment que ce type de crime a généré plus de 50 millions de dollars. Et ils révèlent ensuite comment les cybercriminels commettent leurs crimes. Au meilleur de notre connaissance, ce document présente la plus grande étude systématique de crypto-minage binaire malveillant, disent-ils.

Il existe essentiellement deux façons de voler la puissance de traitement. La première consiste à mettre en place une page Web incorporant un script qui détourne le processeur de l'ordinateur. Les visiteurs sans méfiance du site trouvent soudainement leur processeur surchargé et leurs fans en plein essor.

Bien sûr, la ruse peut être stoppée en fermant la page qui en est responsable. Les experts en cybersécurité ont analysé ce type d'activité en comptant les pages Web qui contiennent ce type de malware et en estimant combien de fois elles sont visitées et pendant combien de temps.



La deuxième méthode est beaucoup plus difficile à étudier. Il s'agit de logiciels malveillants de crypto-minage, souvent enfouis dans du code légitime, que les utilisateurs installent et exécutent sans méfiance sur leurs ordinateurs.

Ce malware est conçu pour être difficile à détecter. Certains logiciels malveillants s'éteignent chaque fois que l'utilisateur ouvre le gestionnaire de tâches, de sorte que la preuve de son activité est difficile à voir. D'autres types ne s'allument que lorsque le processeur est inactif, en supposant que l'utilisateur doit être éloigné de l'appareil.

Pastrana et Suarez-Tangil concentrent leur étude sur ce deuxième type de malware de cryptomining, également connu sous le nom de malware binaire. Et leur analyse est révélatrice.



Tout d'abord, un peu de contexte. L'extraction de crypto-monnaie est le processus qui crypte un enregistrement de transactions afin qu'il ne puisse pas être modifié ou altéré ultérieurement. Ce cryptage doit être suffisamment fort pour rendre l'enregistrement presque impossible à réorganiser.

Cela nécessite une puissance de traitement importante, qui est une ressource précieuse. Ainsi, les mineurs sont récompensés pour leurs efforts avec de petites quantités de crypto-monnaie. C'est pourquoi le processus s'appelle le minage : parce qu'il crée une nouvelle monnaie.

Le processus d'extraction est si intensif que les mineurs se regroupent souvent en pools. De cette façon, ils combinent leur puissance de traitement et se partagent ensuite les récompenses, qui sont versées dans des portefeuilles de crypto-monnaie.



Les logiciels malveillants de cryptominage font tout cela en utilisant la puissance de traitement de leur ordinateur hôte. Cela fonctionne généralement en téléchargeant un logiciel de minage open source qui effectue le cryptage, en se connectant à un pool de minage, puis en transférant toutes les récompenses dans un portefeuille.

Mais c'est précisément ce processus qui a permis à Pastrana et Suarez-Tangil d'analyser l'activité de ces mineurs malveillants. Le code malveillant contient des détails sur les pools auxquels il se connecte et les portefeuilles dans lesquels les fonds sont versés.

Les chercheurs extraient simplement ces informations à grande échelle. Ils ont collecté 1 million d'exemples de logiciels malveillants de crypto-minage opérant entre 2007 et 2018. Ils ont ensuite analysé le code impliqué et exécuté le logiciel malveillant dans un environnement sandbox protégé pour voir ce qu'il faisait.

Cela a révélé les pools les plus souvent impliqués dans le minage illicite de cryptomonnaies. Il a également révélé les portefeuilles, permettant aux chercheurs de voir combien de crypto-monnaie chacun avait reçu. Nous analysons ensuite les paiements accessibles au public envoyés aux portefeuilles par les pools de minage en récompense du minage, et estimons les bénéfices des différentes campagnes, disent-ils.

Les résultats de cette analyse sont intéressants à lire. Les chercheurs constatent que Monero est de loin la crypto-monnaie la plus populaire pour les criminels et que l'ampleur de leur activité est stupéfiante. Pastrana et Suarez-Tangi disent que plus de 4,3% de toute la crypto-monnaie Monero en circulation est le résultat d'activités criminelles.

Et c'est une entreprise rentable. Les taux de change des crypto-monnaies ont énormément varié au fil du temps. Puisqu'il n'y a aucun moyen de savoir quand les criminels ont converti leurs gains, Pastrana et Suarez-Tangi ont dû les estimer. Mais même avec des estimations prudentes, le produit est important.

Notre analyse des bénéfices révèle des campagnes avec des revenus de plusieurs millions, disent-ils. En effet, le montant total extrait de cette manière est d'environ 56 millions de dollars au cours des 10 dernières années. Et la plupart de ces gains semblent avoir été gagnés par un nombre relativement restreint d'acteurs. L'une des principales raisons du succès de cette activité criminelle est son coût relativement faible et son retour sur investissement élevé, selon les chercheurs.

Arrêter cette activité illicite n'est pas facile non plus. Au cours de leurs recherches, Pastrana et Suarez-Tangi ont signalé des portefeuilles illicites aux plus grands pools miniers dans l'espoir qu'ils seraient interdits. Mais ils se sont heurtés à deux problèmes. Premièrement, certains pools non coopératifs ont refusé d'interdire les portefeuilles liés à des logiciels malveillants de crypto-minage. Deuxièmement, certaines campagnes de crypto-minage illicites réussies ont utilisé plusieurs pools en même temps, ce qui les a rendus plus résistants aux opérations de retrait.

Une contre-mesure semble cependant bien fonctionner. De temps en temps, les autorités de crypto-monnaie modifient les algorithmes utilisés pour extraire la monnaie. Lorsque cela se produit, le logiciel de minage doit être mis à jour.

Ce n'est pas un problème pour les mineurs légitimes. Mais les mineurs illicites doivent trouver un moyen de mettre à jour les logiciels malveillants qu'ils ont distribués sur le Web. Ce n'est pas une tâche si facile.

Monero a changé ses algorithmes deux fois en 2018. À chaque changement, environ 73 % et 90 % des campagnes ont cessé leurs opérations, disent Pastrana et Suarez-Tangil.

C'est un travail intéressant qui lève le voile sur une activité criminelle extrêmement rentable mais largement non signalée. Il suggère également un moyen efficace de le réprimer en mettant régulièrement à jour les algorithmes de minage. Il sera intéressant de voir comment la communauté des crypto-monnaies réagit.

Réf : arxiv.org/abs/1901.00846 : Un premier aperçu de l'écosystème des logiciels malveillants de crypto-minage : une décennie de richesse illimitée

cacher