Selon le cabinet de cybersécurité Guardicore Labs, une attaque à grande échelle lancée en février dernier – baptisée Nansh0u Campaign – a frappé environ 700 victimes par jour et a réussi à créer un réseau de plus de 50000 serveurs infecté par des logiciels malveillants contribuer aux pools de minage de crypto-monnaie.
Toujours selon ce qui a été rapporté par la même société, la propagation des virus aurait été d’au moins 20, qui à partir de la même base de code utilisaient précisément des injections de code différentes.
Le malware en question aurait également installé un rootkit qui pourrait empêcher la suppression du malware.
A notifié le fournisseur d’hébergement et supprimé le certificat du rootkit
La société a alors procédé à la notification de l’hébergement des serveurs utilisés pour les attaques et qui a émis le certificat du rootkit, obtenant dans le premier cas la suspension des comptes et dans le second la révocation du certificat.
Attaque très avancée, qui utilise des outils censés appartenir uniquement aux États
L’analyse de Guardicore Labs a identifié des portions de code qui utilisaient des outils très avancés, au niveau de ceux généralement utilisés pour le cyberespionnage par les agences gouvernementales.
Un mauvais signe pour la cybersécurité mondiale: ce n’est pas la première des attaques sophistiquées visant à installer des logiciels de minage.
Toutes les traces mènent à la Chine
Il convient également de noter que tous les indices, du moins pour le moment, mènent à la République populaire. Des indices dans le code et les serveurs utilisés indiqueraient une responsabilité directe des groupes de hackers chinois dans l’attaque.
Vecteur d’attaque simple: les mots de passe des utilisateurs sont toujours le maillon faible
Bien que le malware ait utilisé un code et des procédures très complexes, comme surface d’attaque, il indiquait toujours le maillon faible de la cybersécurité: la simplicité des mots de passe.
Selon ce que la société a rapporté, en fait, pour accéder aux ordinateurs, les pirates auraient utilisé une attaque bruteforce très banale, c’est-à-dire un système qui utilise une liste de mots de passe communs et les utilise pour accéder à l’ordinateur.
Le monde des crypto-monnaies, d’une manière ou d’une autre, a toujours été très tentant pour les hackers.