200 000 routeurs au Brésil ont été secrètement détournés pour exploiter la crypto-monnaie

Le Brésil a été frappé par une attaque minière élaborée de cryptomonnaie qui a infecté des centaines de milliers de routeurs à travers le pays

L'attaque, qui est toujours en cours, affecte spécifiquement les routeurs MikroTik. Dans ce cas, plus de 200 000 machines ont été affectées, créant un botnet minier XMR massif au Brésil.

Les auteurs ont pu infecter des périphériques avec du code malveillant, exécutant subrepticement CoinHive en arrière-plan. Pour ceux qui ne sont pas familiers, CoinHive est un script minier populaire de Monero qui est devenu largement utilisé pour regrouper le pouvoir de traitement de la crypto-monnaie – souvent pour charité mais malheureusement, pas cette fois.

comme un zéro jour – en exploitant des vulnérabilités précédemment inconnues dans le code. Ce jour-là a permis à CoinHive de s'exécuter sur chaque page visitée par des machines exposées – potentiellement des millions de sites Web chargés chaque jour avec des charges secrètes de crypto-monnaie.

L'attaque a commencé plus tôt cette semaine. . BleepingComputer signale qu'une deuxième attaque a été initiée, portant le nombre total de machines affectées à plus de 200 000.

La clé du site Coinhive "oDcuakJy9iKIQhnaZRpy9tEsYiF2PUx4" est utilisée dans une autre campagne #cryptojacking ciblant MikroTik routeurs. Dans ce cas, plus de 25 000 hôtes affectés sont trouvés sur @censysio
h / t @onyphe https://t.co/M9iLatsIVX

– Rapport sur les paquets incorrects ( @bad_packets) 2 août 2018

Même si un correctif pour cette vulnérabilité a été publié par le fabricant en avril, les routeurs ne sont souvent pas à jour. Cela signifie que toute personne possédant un routeur MikroTik est invité à patcher immédiatement ses routeurs.

Les analystes craignent que l'épidémie ne se propage à l'échelle mondiale. La recherche de SpiderLabs Simon Kenin, qui a depuis travaillé à répandre le mot au sujet de l'attaque, a été averti du trafic CoinHive suspicieusement élevé venant du Brésil.

" Permettez-moi de souligner à quel point cette attaque est ", écrit-il en analyse. "Il existe des centaines de milliers de ces appareils dans le monde, utilisés par les fournisseurs de services Internet et les différentes organisations et entreprises, chaque appareil servant au moins des dizaines, voire des centaines d’utilisateurs par jour."

Ceci est vraiment symptomatique d'une tendance plus large sur Internet. Il y a quelques années, le monde était aux prises avec une épidémie de ransomware . La conscience a tellement augmenté que les stratagèmes de chantage sont de plus en plus difficiles à retirer.

Maintenant, il semble que les crypto-jacking avec des scripts comme CoinHive sont tous la rage. Kenin souligne encore cette tendance dans son rapport :

Les mineurs, quant à eux, peuvent être beaucoup plus furtifs, alors qu'un seul ordinateur rapporterait plus d'argent avec un ransomware si l'utilisateur finissait par payer, un attaquant préférerait utiliser un mineur furtif pendant une période plus longue. Le plan étant qu'à un certain moment l'exploitation minière serait aussi rentable que, sinon plus, le paiement de rançon unique.

Donc, rapidement, vérifiez que vous n'avez pas de routeur MicroTik. Si vous le faites, rendez-vous directement sur le site Web du fabricant et obtenez une mise à jour officielle.

Publié 3 août 2018 – 13:58 UTC