Connexion
/ Inscription
Mon espace

Comment la montée des cryptomonnaies façonne le paysage de la cybercriminalité

ABONNÉS

Par David Grout, Technical Director/ PreSales Director, Southern Europe at FireEye, Inc

Introduction

Les cybercriminels ont toujours été attirés par les cryptomonnaies parce qu'elles offrent un certain degré d'anonymat et peuvent facilement être monétisées. Cet intérêt s'est accru ces dernières années, allant bien au-delà du simple désir d'utiliser les cryptomonnaies en tant que moyen de paiement pour des outils et services illicites. De nombreux acteurs ont également tenté de tirer parti de la popularité croissante et de la hausse subséquente de la valeur des cryptomonnaies en les prenant pour cible par diverses opérations, telles que le ‘minage’ malveillant de cryptomonnaie, la collecte d’identifiants de portefeuilles de cryptomonnaie, des activités d'extorsion et le ciblage des plateformes d’échanges de cryptomonnaie.

Parallèlement à l'intérêt croissant pour le vol de cryptomonnaies, la technologie DLT (Distributed Ledger Technology), sur laquelle s’appuient les cryptomonnaies, a également fourni aux cybercriminels un moyen unique d'héberger leurs contenus malveillants. Ce blog couvre la tendance croissante des cybercriminels à utiliser les domaines blockchain pour des infrastructures malveillantes.


Utilisation de l'infrastructure Blockchain

Traditionnellement, les cybercriminels ont utilisé diverses méthodes pour masquer l'infrastructure malveillante qu'ils utilisent pour héberger de nouveaux malwares, stocker des données volées et/ou mettre en place des serveurs de commande et de contrôle (C2). Les méthodes traditionnelles incluent l'utilisation de l'hébergement ‘bulletproof’, de l'infrastructure fast-flux, de l'infrastructure Tor, et/ou d’algorithmes de génération de domaine (DGA) pour aider à dissimuler l'infrastructure malveillante. Nous pensons que les cybercriminels continueront à utiliser ces techniques dans un avenir proche, mais une autre tendance émerge : l'utilisation de l'infrastructure blockchain.


Intérêt de la communauté Underground pour l'infrastructure blockchain

FireEye iSIGHT Intelligence a identifié l'intérêt des acteurs de la cybercriminalité pour les sujets liés à l'infrastructure des cryptomonnaies depuis au moins 2009 au sein des communautés ‘underground’. Bien que la recherche de certains mots-clés ne permettent pas d’établir une tendance précise, la fréquence de termes spécifiques, tels que blockchain, Namecoin et .bit, augmente nettement dans les conversations autour de ces sujets à partir de 2015.


Domaines Namecoin

Namecoin est une cryptomonnaie basée sur le code Bitcoin qui est utilisée pour enregistrer et gérer des noms de domaine avec le ‘top level domain’ (TLD).bit. Toute personne qui enregistre un domaine Namecoin en est typiquement son propre dépositaire ; cependant, l'enregistrement d'un domaine n'est pas associé au nom ou à l'adresse d'une personne. La propriété du domaine est plutôt basée sur le chiffrement unique utilisé par chaque utilisateur. Ceci crée essentiellement le même système d’anonymat que Bitcoin pour l'infrastructure Internet, dans lequel les utilisateurs ne sont connus que par leur identité cryptographique.

Comme Namecoin est décentralisé, sans autorité centrale gérant le réseau, les domaines enregistrés avec Namecoin ne peuvent être ni détournés ni fermés. Ces facteurs, associés à un anonymat comparable, font de Namecoin une option de plus en plus attractive pour les cybercriminels ayant besoin d'une infrastructure pour supporter leurs opérations malveillantes.


Navigation vers les domaines Namecoin

Les domaines enregistrés avec Namecoin utilisent le TLD .bit et ne sont pas gérés par les fournisseurs DNS standard. Un client ne pourra donc pas établir une connexion vers ces domaines à moins de procéder à des configurations supplémentaires.
En conséquence, beaucoup de cyber criminels ont configuré leurs malwares pour interroger leur propre DNS OpenNIC compatible Namecoin, ou pour interroger d'autres serveurs compatibles qu'ils ont acquis auprès de la communauté ‘underground’. Les fournisseurs d'hébergement ‘bulletproof’, tels que Group 4, ont profité de la demande accrue pour les domaines .bit en ajoutant du support pour permettre aux acteurs malveillants d'interroger des serveurs compatibles.


Analyse de l'utilisation de Namecoin

Parallèlement à l'intérêt croissant des acteurs malveillants pour l'utilisation des domaines .bit, un nombre croissant de familles de malwares sont configurés pour les utiliser. Les familles de malwares que nous avons observées utilisant les domaines Namecoin dans le cadre de leur infrastructure C2 comprennent :
-       Necurs
-       AZORult
-       Neutrino (alias Kasidet, MWZLesson)
-       Corebot
-       SNATCH
-       Coala DDoS
-       CHESSYLITE
-       Emotet
-       Terdot
-       Ransomware Gandcrab Ransomware
-       SmokeLoader (alias Dofoil)

Sur la base de notre analyse d'échantillons configurés pour utiliser les domaines .bit, les méthodes suivantes sont couramment utilisées par les familles de malwares pour se connecter à ces domaines :
-       Query hard-coded OpenNIC adresse(s)
-       Query hard coded DNS server(s)


Perspectives

Bien que l’utilisation de méthodes traditionnelles de dissimulation telles Tor, « bulletproof » et l'hébergement fast-flux se poursuivra très probablement dans un avenir proche, nous estimons que l'usage de domaines blockchain continuera de gagner en popularité parmi les cybercriminels dans le monde entier. Parallèlement à l'augmentation prévue de la demande pour ces domaines, un nombre croissant d'offres d'infrastructures malveillantes apparaîtront au sein des communautés ‘underground’ pour les supporter.

En raison de la nature décentralisée et reproductible d'une blockchain, la saisie par les forces de l’ordre d’un domaine malicieux nécessitera probablement la fermeture de l’ensemble de l’infrastructure blockchain, une démarche impossible en raison des nombreux services légitimes qui l’utilisent. Si un service de police est en mesure d’identifier le ou les individus qui gèrent des domaines blockchain malicieux, alors leur prise de contrôle pourra être envisageable ; toutefois, la probabilité de ce cas de figure dépend fortement du niveau de sécurité mis en place par les cyber criminels.

De plus, ces derniers continuant à développer de nouvelles méthodes de dissimulation et de protection de leurs infrastructures, la prise de contrôle des domaines blockchain restera une opération difficile.

www.fireeye.fr/

 

 

Lire la suite...


Articles en relation

Étude sur l’intégration des enjeux ESG au sein des stratégies smart bêta
A la une - Epargnons Responsable !
Étude sur l’intégration des enjeux ESG au sein des stratégies smart bêta

Cosignée par Aberdeen Standard Investments (ASI), Sustainalytics, l'un des principaux fournisseurs mondiaux de recherche et d'évaluation sur les questions Environnementales, Sociales et de Gouvernance, et la Smith School of Enterprise and the Environment de l'Université d'Oxford, l'étude* dévoile l'importance grandissante que revêtent les stratégies smart bêta et les questions ESG auprès des investisseurs, tout en soulignant que l'intégration des critères ESG au sein de ces stratégies reste...

L’épargne-retraite vue par le projet de loi PACTE : on change tout !
L’épargne-retraite vue par le projet de loi PACTE : on change tout !

Tribune d'Isabelle Hadoux-Vallier, Avocat Counsel chez August Debouzy Dans le chapitre « Des entreprises plus innovantes » à la section « Améliorer et diversifier les financements », le très ambitieux projet de loi PACTE déposé le 19 juin dernier devant l'Assemblée nationale officialise le lancement de la réforme de l'épargne-retraite. 1/ Calendrier Il peut paraître étrange de s'occuper d'abord du dernier étage du système français des retraites (l'épargne-retraite) alors que : - une...

Blockchain : la technologie intelligente au cœur de la métamorphose de l’assurance
ER - Acteurs du secteur financier
Blockchain : la technologie intelligente au cœur de la métamorphose de l’assurance

A quelques jours des Rendez-vous de Septembre, incontournables, dans le secteur de l'assurance, PwC publie « Blockchain, catalyseur de nouvelles approches en assurance. Quelles mises sur le marché concrètes et quelles évolutions pour 2019 ? ». Si la blockchain promet de réinventer l'échange de valeur, l'étude fournit un signal clair quant à la maturité des entreprises sur ce sujet. En effet, 84% des personnes interrogées déclarent que des initiatives blockchain sont en cours dans leur...

Paypite lance un Airdrop international avec 200 millions de AIR-PIT distribuées gratuitement
A la une - La Bulle des Entrepreneurs
Paypite lance un Airdrop international avec 200 millions de AIR-PIT distribuées gratuitement

Paypite rend accessible au monde francophone l'« Airdrop des cryptomonnaies » avec un dispositif de près de 200 millions de AIR-PIT distribuées gratuitement. Première cryptomonnaie francophone, Paypite lance un Airdrop international à destination de tous les francophones jusqu'au 30 septembre 2018. Un Airdrop, dans le monde des cryptomonnaies, est une pratique consistant à offrir des tokens* en échange d'actions simples permettant d'augmenter sa notoriété et la communauté de membres actifs....

Epargnons Responsable / Le Bas de Laine d'Esteval - Tous nos articles Brique par Brique - Tous nos articles La Bulle des Entrepreneurs - Tous nos articles