Au début de 2018, de nombreuses entreprises de sécurité et des experts indépendants ont mis en garde sur l’émergence d’un botnet minier utilisant des hôtes infectés pour extraire la crypto-monnaie Monero. Selon les experts, le nombre de voitures achetées a été réduit de 500 000 à 1 000 000, et les opérateurs de malwares ont “gagné” environ 8 900 Monero (environ 2 millions de dollars au taux de change en vigueur à cette époque).
Ce malware a été nommé WannaMine, dont la menace a été donnée par les spécialistes de la société CrowdStrike. Bien entendu, le parallèle avec WannaCry n’est pas accidentel. Le fait est que pour propager les programmes malveillants, des exploits EternalBlue (CVE-2017-0144) et EsteemAudit (CVE-2017-0176) visant des ordinateurs Windows vulnérables. Les noms de ces exploits sont bien connus non seulement des professionnels de la sécurité de l’information, mais même des utilisateurs ordinaires, puisque c’est EternalBlue qui a été utilisé au printemps 2017 pour diffuser le cryptage WannaCry , qui a fait l’ unanimité.
Permettez-moi de vous rappeler qu’à l’été 2016, un groupe de pirates se faisant appeler The Shadow Brokers a réussi à voler les outils de piratage informatiques aux spécialistes de la NSA.Pendant longtemps, les pirates ont tenté en vain de vendre la «cyber-arme» qui leur était entre les mains, mais ils n’ont pas réussi à organiser une enchère ni à trouver un acheteur direct. Après quoi, en avril 2017, le groupe a publié les données volées gratuitement, dans le domaine public.
Ces outils prêts à l’emploi de l’arsenal de la NSA (ou plutôt des exploits EternalBlue et DoublePulsar) ont été utilisés par les créateurs de WannaCry. En outre, des exploitations de services spéciaux ont été adoptées par les créateurs de NotPetya , un autre programme malveillant minier Adylkuzz, etc.
Microsoft a corrigé les vulnérabilités susmentionnées, qui utilisent des outils volés à la NSA, et préparé des correctifs pour des systèmes d’exploitation obsolètes et non pris en charge, notamment Windows XP, Windows 8 et Windows Server 2003. Cependant, même un an plus tard, de nombreuses entreprises et utilisateurs ne s’en souciaient pas de les réparer.
Les analystes de Cybereason ont averti que les logiciels malveillants WannaMine étaient toujours actifs et qu’ils infectaient les réseaux de grandes entreprises. Ainsi, des experts ont déclaré que l’autre jour, un virus minier avait attaqué l’un de leurs clients, une grande entreprise dont les succursales du monde entier figuraient sur la liste Fortune 500. Après s’être infiltré dans une machine vulnérable, le programme malveillant s’est propagé à plus de 1000 systèmes en une seule journée. En conséquence, des dizaines de contrôleurs de domaine et environ 2 000 terminaux ont été infectés.
Les chercheurs écrivent que les attaques WannaMine sont presque sans fichiers. Ainsi, le script PowerShell est chargé à partir d’un serveur distant, ce qui aide le logiciel malveillant à prendre pied dans le système. En outre, un fichier volumineux contenant du texte base64 est chargé à partir du serveur de gestion. Il est à noter que la charge utile due à l’obscurcissement est si énorme qu’il est presque impossible de l’ouvrir dans un éditeur de texte.
Ce fichier contient également un code PowerShell, y compris la version PowerShell de l’outil Mimikatz , ainsi qu’un énorme blob binaire, utilisé pour travailler avec l’outil PingCastle et rechercher d’autres hôtes vulnérables. Les informations d’identification collectées et les informations du réseau sont utilisées pour pénétrer dans les machines disponibles et les infecter.Malvari DLL se voit attribuer un nom aléatoire, différent pour chaque système infecté.
Dans le même temps, les experts de Cybereason notent que WannaMine utilise toujours les mêmes serveurs que ceux précédemment vus lors d’opérations malveillantes. Les experts ont tenté de contacter les hébergeurs propriétaires des adresses détectées, mais n’ont pas reçu de réponse.
