Depuis l’année dernière, des chercheurs ont déclaré qu’un logiciel malveillant jusqu’alors inconnu, capable de s’autorépliquer, compromet des appareils Linux dans le monde entier et installe un logiciel malveillant de cryptomining qui prend des mesures inhabituelles pour dissimuler son fonctionnement interne. Traditionnellement, Mirai et ses nombreuses variantes se propagent lorsque l’un des appareils infectés scanne Internet à la recherche d’autres appareils acceptant les connexions Telnet. Les appareils infectés tentent ensuite de craquer le mot de passe Telnet en devinant les paires d’identification par défaut et couramment utilisées. Une fois réussi, les nouveaux appareils infectés ciblent d’autres appareils en utilisant la même technique. Mirai a principalement été utilisé pour mener des attaques par déni de service distribué (DDoS). Étant donné les grandes quantités de bande passante disponibles pour de nombreux appareils de ce type, les inondations de trafic indésirable sont souvent énormes, donnant ainsi au botnet un immense pouvoir. Mercredi dernier, des chercheurs de l’entreprise de sécurité et de fiabilité réseau Akamai ont révélé l’existence d’un réseau basé sur Mirai, jusqu’alors inconnu, qu’ils ont baptisé NoaBot et qui vise les appareils Linux depuis au moins janvier dernier. Au lieu de cibler les mots de passe Telnet faibles, NoaBot cible les mots de passe faibles des connexions SSH. Autre particularité : au lieu d’effectuer des attaques DDoS, le nouveau botnet installe un logiciel de minage de cryptomonnaie, ce qui permet aux attaquants de générer des pièces numériques en utilisant les ressources informatiques, l’électricité et la bande passante des cibles. Le cryptominer est une version modifiée de XMRig, un autre logiciel malveillant open source. Plus récemment, NoaBot a également été utilisé pour distribuer P2PInfect, un ver séparé révélé par des chercheurs de Palo Alto Networks en juillet dernier. Akamai surveille NoaBot depuis les 12 derniers mois dans un pot de miel qui imite de véritables appareils Linux afin de suivre les différentes attaques en circulation dans la nature. À ce jour, les attaques ont été lancées à partir de 849 adresses IP distinctes, la plupart étant très probablement des hôtes déjà infectés. Le graphique suivant illustre le nombre d’attaques subies par le pot de miel au cours de l’année écoulée.
‘Lascar derrière la blanchisserie de Bitcoin de Helix écroué pour trois ans, remet 400 millions de dollars’
‘Larry Dean Harmon, un homme de l’Ohio âgé de 41 ans, a été condamné à trois ans de prison pour