Les pirates informatiques profitent souvent des failles de sécurité des ordinateurs pour mener leurs attaques. C’est ce qui se passe avec le nouveau botnet qui cherche à exploiter les crypto-monnaies sur les systèmes Windows et Linux. Il recherche les vulnérabilités pour atteindre son objectif. C’est Sysrv-hello et a été découvert par Alibaba Cloud.
Sysrv-hello, un botnet qui recherche des vulnérabilités sous Windows ou Linux
L’exploration cachée de crypto-monnaie est un problème dont il faut être très conscient, car elle peut pousser notre ordinateur à l’extrême et affecter non seulement les performances, mais également les composants matériels. C’est un type de menace qui a considérablement augmenté ces dernières années en raison de la montée des monnaies numériques.
En fin de compte, les pirates cherchent des moyens de tirer profit. Ils créent de nouvelles techniques d’attaque, recherchent les bogues qu’ils peuvent exploiter et finalement infectent les ordinateurs des victimes. Avec Sysrv-hello, ils parviennent à se faufiler un botnet pour l’extraction de crypto-monnaies sur Windows et Linux. Plus précisément, il mine Monero, l’une des crypto-monnaies les plus populaires.
Ce botnet a été découvert pour la première fois en février mais est actif depuis décembre 2020. C’est en mars qu’il a connu une augmentation significative de l’inactivité. Il a maintenant été mis à jour pour pouvoir utiliser un seul binaire capable d’extraire et de diffuser automatiquement des logiciels malveillants sur d’autres appareils.
Comment fonctionne Sysrv-hello? Fondamentalement, il explore Internet à la recherche d’ordinateurs vulnérables. De cette façon, il pourrait infecter ces systèmes et introduire son armée de botnets et commencer à exploiter Monero.
Selon les chercheurs en sécurité, ils s’appuient sur les vulnérabilités qu’ils trouvent dans l’exécution de code à distance dans PHPUnit, Apache Solar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic et Apache Struts.
Il convient de noter qu’une fois qu’il a piraté le serveur avec succès, ce malware peut se propager sur le réseau par le biais d’attaques par force brute utilisant des clés SSH privées qu’il collecte sur des serveurs infectés.
Il y a eu principalement six vulnérabilités exploitées, qui sont les suivantes:
- Mongo Express RCE (CVE-2019-10758)
- XML-RPC (CVE-2017-11610)
- Saltstack RCE (CVE-2020-16846)
- Drupal Ajax RCE (CVE-2018-7600)
- ThinkPHP RCE (pas de CVE)
- XXL-JOB Unauth RCE (pas de CVE)
Comment se protéger du minage de crypto-monnaie?
Nous avons vu comment ce nouveau botnet peut infecter les systèmes Windows ou Linux pour mener à bien ses attaques et miner des crypto-monnaies. Cependant, nous pouvons rencontrer des menaces similaires qui peuvent tirer parti de nos ordinateurs pour atteindre leur objectif. Éviter les attaques de botnet est quelque chose que nous devons garder à l’esprit.
Sans aucun doute, la chose la plus importante pour éviter d’être victime de ce problème est d’avoir un équipement mis à jour. Nous avons vu que vous avez besoin dans ce cas de systèmes vulnérables et obsolètes. Par conséquent, le principal conseil est de toujours garder vos ordinateurs à jour. Peu importe le système d’exploitation que nous utilisons.
Il sera également important d’avoir des programmes de sécurité. Un bon antivirus peut aider à prévenir de nombreuses variétés de logiciels malveillants qui pourraient nous compromettre d’une manière ou d’une autre. Il est essentiel de l’appliquer quel que soit le système d’exploitation que nous utilisons.
Mais une autre question fondamentale est également le bon sens. Nous devons éviter de commettre des erreurs qui pourraient être exploitées par des pirates et mettre nos ordinateurs en danger. Par exemple, ce serait une erreur de télécharger des programmes à partir de sites tiers sans vérifier s’ils sont légitimes, de télécharger des pièces jointes qui pourraient être dangereuses ou de se connecter à un réseau non sécurisé.
