Eset a découvert un réseau de botnets exploitant une vulnérabilité dans Windows Server 2003 permettant d’installer à l’insu de leurs propriétaires une version modifiée d’un mineur open source. « Le minage est le procédé par lequel les transactions des cryptomonnaies sont sécurisées. À cette fin, les mineurs effectuent avec leur matériel informatique des calculs mathématiques pour le réseau de la crypto. Comme récompense pour leurs services, ils collectent les cryptos nouvellement créées ainsi que les frais des transactions qu’ils confirment », explique le site spécialisé Bitcoin. Ces concentrations de ressources, rarement disponibles sur un seul serveur, obligent souvent les mineurs à se regrouper via des botnets pour augmenter leurs ressources de calcul.
Les experts d’Eset pensent que cette faille est exploitée depuis mai 2017. Les cybercriminels ont créé un réseau de botnet comprenant une centaine de machines. Ils auraient ainsi généré plus de 63.000 dollars en cryptomonnaie Monero. ESET nomme cette menace Win32/CoinMiner.AMW trojan. « Bien que Monero soit loin derrière Bitcoin en termes de capitalisation, il existe trois principales raisons pour lesquelles les cybercriminels l’exploitent », explique dans un communiqué Peter Kálnai, Malware Researcher chez Eset. « Tout d’abord, les transactions Monero sont intraçables, Monero s’appuie sur un algorithme appelé CryptoNight qui attribue clairement le travail effectué. Enfin, CryptoNight favorise l’utilisation des CPU et non pas des GPU comme le Bitcoin. »
En juillet 2015, Microsoft a mis fin au support des mises à jour régulières pour Windows Server 2003. Toutefois, en juin 2017 l’éditeur a corrigé plusieurs vulnérabilités afin d’éviter que de grandes attaques telles que WannaCry se produisent à nouveau.
Bien qu’elles soient disponibles, ces mises à jour ne sont pas forcément appliquées. Eset invite les utilisateurs de Windows Server 2003 à appliquer entre autres la mise à jour de sécurité KB3197835. Si les mises à jour automatiques échouent, les utilisateurs doivent les télécharger et les installer manuellement.