Infection de serveurs Web sous Windows pour miner de la cryptomonnaie

Le par  |  2 commentaire(s)
SambaCry-Monero

Des individus ont exploité une faille connue pour cibler d'anciens serveurs Windows et obtenir pour plus de 63 000 $ en trois mois avec du minage de Monero.

Les chercheurs en sécurité de ESET dévoilent que des cybercriminels ont procédé à des modifications mineures sur un logiciel légitime de minage de cryptomonnaie Monero (via un fork), et ont exploité une vulnérabilité connue affectant Microsoft IIS 6.0 pour l'installer insidieusement sur des serveurs Windows.

mineurLa faille en question est référencée CVE-2017-7269. Elle a été corrigée en juin par Microsoft. Son exploitation implique l'envoi d'une requête HTTP spécialement conçue. Le problème se situe au niveau du service WebDAV. Faute d'appliquer le patch, Windows Server 2003 R2 est vulnérable.

Il est à souligner que Microsoft avait fait exception à sa politique de fin de support afin de proposer le correctif pour cette plateforme. D'après ESET, en l'espace de trois mois, les cybercriminels ont pu créer un botnet de plusieurs centaines de serveurs infectés, et ont amassé pour l'équivalent de plus de 63 000 $.

Les chercheurs en sécurité expliquent que la cryptomonnaie Monero présente l'avantage de rendre les transactions intraçables, et un algorithme utilisé pour le minage est adapté aux processeurs d'ordinateurs standards.

Une vulnérabilité connue, des systèmes anciens ciblés et des modifications à la marge apportées à un logiciel open source de minage… Peu d'efforts pour gagner rapidement de l'argent.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1982503
Nombreuses sont les boites qu'y n'ont pas d’informaticien car "pas le budget" (et pourtant les directeurs sont à 5000-7000 euros/mois)

à ceux-là, je dis : bien fait
Le #1982703
@tonio1987fr : très constructif comme avis

On peut plus s'interroger sur la qualité de la protection des systèmes mis en place... par des sous traitants peu regardants car sous payés ou 'pas concernés' ??
Bien souvent la sécurité passe bien après l'urgence de la mise à disposition d'un serveur

Ce qui est dommage, c'est de ne pas avoir d'information sur les 'victimes' de cette intrusion (pme, grosse entreprise, banque...etc), ni sur leur nombre

Un petit troll enfin; à quoi bon rester avec de vieux Windows, ils n'ont qu'à passer sous Linux
Suivre les commentaires
Poster un commentaire
Anonyme