Nos experts ont récemment trouvé un mineur qui se concentre principalement sur les réseaux d’entreprise. PowerGhost est un malware sans fichier, ce qui lui permet de s’installer dans les postes de travail ou serveurs des victimes en toute discrétion. La plupart des attaques que nous avons détectées ont eu lieu en Inde, Turquie, Brésil et Colombie.
Après avoir réussi à entrer dans l’infrastructure de l’entreprise, PowerGhost essaie de se connecter aux comptes utilisateurs du réseau en utilisant l’outil légitime d’administration à distance, Windows Management Instrumentation (WMI). Le malware obtient les identifiants et mots de passe grâce à un outil qui extrait les données, Mimikatz. Le mineur peut aussi se propager à travers l’exploit de Windows EternalBlue, que les créateurs de WannaCry et ExPetr ont déjà utilisé. En théorie, cette vulnérabilité a été corrigée il y a un an, mais en pratique, cette méthode est encore efficace.
Une fois dans le dispositif de la victime, le malware essaie d’obtenir plus de privilèges en utilisant plusieurs vulnérabilités du système d’exploitation (consultez l’article publié sur notre blog Securelist pour obtenir plus de détails techniques). Ensuite, le mineur s’implante dans le système et commence à produire de la crypto-monnaie pour ses créateurs.
Pourquoi PowerGhost est-il dangereux ?
PowerGhost, tout comme n’importe quel mineur, utilise les ressources de votre ordinateur pour générer de la crypto-monnaie. Cette action réduit les performances du serveur et d’autre appareils, mais provoque aussi une usure significativement plus rapide, ce qui engendre des frais de remplacement.
Cependant, si nous comparons PowerGhost à la plupart des programmes similaires, nous observons qu’il est beaucoup plus difficile de le détecter puisqu’il ne télécharge pas de fichiers malveillants sur l’appareil. Cela signifie qu’il peut fonctionner sur votre serveur, ou poste de travail, sans être détecté pendant plus longtemps, et par conséquent fait davantage de dégâts.
De plus, nos experts ont trouvé un outil pour les attaques DDoS dans une des versions du malware. L’utilisation des serveurs de l’entreprise pour attaquer une autre victime peut ralentir, voire paralyser les activités opérationnelles. Un aspect intéressant est la capacité du malware à vérifier s’il est exécuté dans un vrai système d’exploitation ou dans une sandbox, ce qui lui permet de contourner les solutions de sécurité standards.
Anti-PowerGhost
Si vous voulez éviter les infections et protéger vos équipements d’attaques perpétrées par PowerGhost et des logiciels similaires, vous devriez surveiller minutieusement la sécurité des réseaux d’entreprise.
- Mettez à jour vos logiciels et votre système d’exploitation. Toutes les vulnérabilités exploitées par le mineur ont été corrigées il y a longtemps par les vendeurs. Les développements faits par les auteurs de virus reposent généralement sur des exploits de vulnérabilités qui ont été corrigés il y a longtemps.
- Améliorez les compétences de vos employés pour les sensibiliser à la sécurité. N’oubliez pas que le facteur humain est à l’origine de nombreux incidents informatiques.
- Utilisez des solutions de sécurité de confiance qui ont la technologie de l’analyse comportementale. Il s’agit de la seule technique permettent de détecter les menaces sans fichier. Les produits d’entreprise de Kaspersky Lab détectent PowerGhost et ses composants individuels, ainsi que de nombreux programmes malveillants, y compris ceux qui sont encore inconnus.