Opération de Cryptojacking DERO

Découverte d’une Nouvelle Opération de Cryptojacking DERO ciblant l’infrastructure Kubernetes.

Le 11 juin 2024, l’équipe de sécurité de Symantec Broadcom a annoncé la découverte d’une opération de cryptojacking utilisant la cryptomonnaie DERO et ciblant spécifiquement l’infrastructure Kubernetes.

Cette découverte souligne l’évolution continue des cyberattaques visant à exploiter les ressources de calcul pour miner des cryptomonnaies de manière illégale.

DERO : Une Cryptomonnaie de Choix pour le Cryptojacking

DERO est une cryptomonnaie offrant une confidentialité renforcée, un anonymat supérieur et des récompenses plus rapides comparativement à des cryptomonnaies comme Monero. Selon un rapport de mars 2023, ces caractéristiques font de DERO un choix populaire parmi les cybercriminels pour le cryptojacking, une pratique qui consiste à utiliser les ressources informatiques d’un tiers sans son consentement pour miner des cryptomonnaies.

Détail de l’Attaque

La campagne de cryptojacking DERO découverte par Symantec montre une évolution notable par rapport aux attaques précédentes. Le vecteur d’attaque implique l’exploitation d’un serveur API Kubernetes accessible de l’extérieur avec l’authentification anonyme activée. Cette configuration vulnérable permet aux attaquants de pénétrer dans l’infrastructure Kubernetes et de déployer des charges de travail de cryptomineur dans divers espaces de noms. Pour échapper à la détection, les attaquants utilisent des noms de ressources inoffensifs.

Protection et Contremesures de Symantec

Symantec met en avant ses solutions pour protéger contre cette menace. Les logiciels de Symantec identifient et bloquent les menaces basées sur des signatures telles que Cheval de Troie.Gen.MBT et Cheval de Troie.Gen.NPE. De plus, les domaines et adresses IP observés dans ces attaques sont couverts par les catégories de sécurité de WebPulse, protégeant ainsi les utilisateurs contre les tentatives d’accès malveillantes via le web.

Précédents et Évolution des Attaques

Ce n’est pas la première fois que DERO est utilisé dans des campagnes de cryptojacking ciblant Kubernetes. En juin 2023, CrowdStrike avait découvert la première opération connue de cryptojacking DERO ciblant cette infrastructure. Cette attaque initiale a servi de précurseur aux tactiques plus sophistiquées observées aujourd’hui.

Autres Campagnes Analogues

Outre les découvertes de Symantec et CrowdStrike, plusieurs autres campagnes de cryptojacking utilisant DERO ont été documentées. En janvier 2023, une attaque similaire avait été identifiée par Trend Micro, impliquant l’utilisation de scripts automatisés pour infiltrer des clusters Kubernetes non sécurisés. En novembre 2022, une autre campagne avait été rapportée par Palo Alto Networks, exploitant des vulnérabilités dans des configurations Kubernetes mal sécurisées.

Conclusion

L’opération de cryptojacking DERO ciblant l’infrastructure Kubernetes découverte par Symantec Broadcom met en lumière l’importance cruciale de sécuriser les configurations Kubernetes et de surveiller en permanence les activités suspectes au sein des clusters. Les utilisateurs et les administrateurs doivent être vigilants et adopter des pratiques de sécurité robustes pour protéger leurs ressources contre ces menaces en constante évolution.

Symantec, avec ses solutions avancées de sécurité, continue de fournir une protection efficace contre ces attaques, aidant ainsi les organisations à sécuriser leurs infrastructures contre les cybercriminels exploitant les cryptomonnaies comme DERO.

A propos de l'auteur

Retour en haut