Hack news
Des cybercriminels ont pris le contrôle de dizaines de milliers de serveurs mal sécurisés à travers le monde pour créer un vaste botnet visant le vol de cryptomonnaies. C’est ce qu’indique une nouvelle étude du spécialiste en cybersécurité Check Point. Les attaques exploitent des mots de passe faibles et des serveurs insuffisamment protégés, directement reliés à Internet.
Selon les chercheurs, plus de 50 000 serveurs sont actuellement vulnérables. Ces systèmes sont utilisés pour accéder à des infrastructures liées aux cryptomonnaies et vider finalement les portefeuilles numériques.
Attaques via le malware GoBruteforcer
Les attaques sont menées à l’aide d’un logiciel malveillant appelé GoBruteforcer. Ce programme tente de se connecter automatiquement aux serveurs en testant des noms d’utilisateur et des mots de passe courants. Une fois l’accès obtenu, les attaquants disposent d’un contrôle total sur le système.
Le malware cible principalement les serveurs Linux exécutant des services largement utilisés tels que FTP, MySQL, PostgreSQL et phpMyAdmin. Ces systèmes, souvent utilisés pour des sites web et des bases de données, sont régulièrement insuffisamment sécurisés.
Un serveur infecté devient partie intégrante du botnet et peut ensuite être utilisé pour attaquer d’autres serveurs vulnérables. Les attaquants peuvent également voler des données, créer des comptes supplémentaires ou vendre l’accès au serveur.
Des millions de serveurs accessibles au public
L’une des causes majeures de ces attaques à grande échelle est le nombre important de serveurs ouverts au trafic Internet. À l’échelle mondiale, on estime que des millions de serveurs FTP et de bases de données sont directement accessibles via des ports standard, souvent sans sécurité renforcée.
GoBruteforcer a été observé pour la première fois en 2023, mais les chercheurs ont découvert une variante plus avancée à la mi-2025. Cette version est plus difficile à détecter et reste active plus longtemps sur les systèmes infectés.
Mots de passe faibles et configurations générées par IA
De nombreuses attaques réussissent en raison d’erreurs de sécurité basiques. Les pirates utilisent des noms d’utilisateur standards comme appuser et myuser, combinés à des mots de passe faibles tels que admin123456. Ces combinaisons proviennent souvent directement de manuels en ligne et de guides d’installation.
Check Point souligne également que les manuels de configuration générés par IA contribuent au problème. Ceux-ci reprennent les mêmes réglages d’exemple, entraînant une utilisation à grande échelle d’identifiants de connexion faibles identiques.
En outre, les attaquants ciblent délibérément des comptes avec des noms liés aux crypto, tels que cryptouser et crypto_app, espérant trouver des serveurs associés aux monnaies numériques.
Ciblage des portefeuilles crypto avec solde
Les chercheurs ont découvert que certains serveurs infectés étaient utilisés pour scanner des adresses blockchain afin de détecter des soldes. Des milliers de portefeuilles TRON ont notamment été contrôlés. Sur les systèmes découverts, des outils permettaient de siphonner automatiquement les cryptomonnaies dès qu’un portefeuille contenait des fonds.
L’analyse des transactions sur la blockchain indique qu’une partie de ces attaques a réussi. Cela confirme que les projets crypto et les infrastructures blockchain sont des cibles intentionnelles des campagnes d’attaque.
Les logiciels obsolètes restent un risque permanent
Selon Check Point, cette vague d’attaques résulte d’un problème structurel. De nombreuses organisations continuent d’utiliser des logiciels et des serveurs obsolètes, insuffisamment protégés. Les environnements web anciens, avec des panneaux d’administration et accès FTP ouverts, sont particulièrement attractifs pour les attaquants.
Les chercheurs avertissent que même des logiciels malveillants relativement simples peuvent causer des dégâts importants tant que des systèmes mal sécurisés restent en ligne. Fin 2025, il a été établi que certains serveurs infectés étaient également utilisés par une autre famille de malwares, augmentant encore le risque.
Les résultats soulignent l’importance de mots de passe robustes, de la fermeture des accès Internet inutiles et de la mise à jour des logiciels serveurs.
Un hacker transfère à nouveau 1 000 Ethereum via Aave et Tornado Cash
Au total, environ 6 300 Ethereum ont été déplacés via Tornado Cash. La valeur totale atteint des dizaines de millions de dollars.
Première grande cyberattaque de 2026 : une cryptomonnaie s’effondre
Truebit a été victime d’un piratage entraînant le vol de plusieurs dizaines de millions de dollars en Ethereum. Le token TRU s’est entièrement effondré.
Le plus lu
Analyste crypto : « 10 dollars pour le XRP est envisageable, 100 dollars ne l’est pas »
XRP à 100 dollars ? N’y comptez pas, avertit l’analyste Mason Versluis. Il explique pourquoi 10 dollars est un objectif réaliste.
Cours du XRP à 1000 dollars ? ‘C’est totalement absurde’, déclare un investisseur
Martyn Lucas met en garde les investisseurs : un cours du XRP à 1 000 dollars n’est pas réaliste et trompe surtout les investisseurs pleins d’espoir.
Fuite de données chez un partenaire de Ledger : seules les coordonnées des clients exposées
Le fabricant de portefeuilles cryptographiques Ledger a confirmé que des données personnelles de clients ont été divulguées suite à une intrusion chez le prestataire de paiement Global-e.