Hack news
Des cybercriminels ont pris le contrôle de dizaines de milliers de serveurs mal sécurisés à travers le monde pour créer un vaste botnet visant le vol de cryptomonnaies. C’est ce qu’indique une nouvelle étude du spécialiste en cybersécurité Check Point. Les attaques exploitent des mots de passe faibles et des serveurs insuffisamment protégés, directement reliés à Internet.
Selon les chercheurs, plus de 50 000 serveurs sont actuellement vulnérables. Ces systèmes sont utilisés pour accéder à des infrastructures liées aux cryptomonnaies et vider finalement les portefeuilles numériques.
Attaques via le malware GoBruteforcer
Les attaques sont menées à l’aide d’un logiciel malveillant appelé GoBruteforcer. Ce programme tente de se connecter automatiquement aux serveurs en testant des noms d’utilisateur et des mots de passe courants. Une fois l’accès obtenu, les attaquants disposent d’un contrôle total sur le système.
Le malware cible principalement les serveurs Linux exécutant des services largement utilisés tels que FTP, MySQL, PostgreSQL et phpMyAdmin. Ces systèmes, souvent utilisés pour des sites web et des bases de données, sont régulièrement insuffisamment sécurisés.
Un serveur infecté devient partie intégrante du botnet et peut ensuite être utilisé pour attaquer d’autres serveurs vulnérables. Les attaquants peuvent également voler des données, créer des comptes supplémentaires ou vendre l’accès au serveur.
Des millions de serveurs accessibles au public
L’une des causes majeures de ces attaques à grande échelle est le nombre important de serveurs ouverts au trafic Internet. À l’échelle mondiale, on estime que des millions de serveurs FTP et de bases de données sont directement accessibles via des ports standard, souvent sans sécurité renforcée.
GoBruteforcer a été observé pour la première fois en 2023, mais les chercheurs ont découvert une variante plus avancée à la mi-2025. Cette version est plus difficile à détecter et reste active plus longtemps sur les systèmes infectés.
Mots de passe faibles et configurations générées par IA
De nombreuses attaques réussissent en raison d’erreurs de sécurité basiques. Les pirates utilisent des noms d’utilisateur standards comme appuser et myuser, combinés à des mots de passe faibles tels que admin123456. Ces combinaisons proviennent souvent directement de manuels en ligne et de guides d’installation.
Check Point souligne également que les manuels de configuration générés par IA contribuent au problème. Ceux-ci reprennent les mêmes réglages d’exemple, entraînant une utilisation à grande échelle d’identifiants de connexion faibles identiques.
En outre, les attaquants ciblent délibérément des comptes avec des noms liés aux crypto, tels que cryptouser et crypto_app, espérant trouver des serveurs associés aux monnaies numériques.
Ciblage des portefeuilles crypto avec solde
Les chercheurs ont découvert que certains serveurs infectés étaient utilisés pour scanner des adresses blockchain afin de détecter des soldes. Des milliers de portefeuilles TRON ont notamment été contrôlés. Sur les systèmes découverts, des outils permettaient de siphonner automatiquement les cryptomonnaies dès qu’un portefeuille contenait des fonds.
L’analyse des transactions sur la blockchain indique qu’une partie de ces attaques a réussi. Cela confirme que les projets crypto et les infrastructures blockchain sont des cibles intentionnelles des campagnes d’attaque.
Les logiciels obsolètes restent un risque permanent
Selon Check Point, cette vague d’attaques résulte d’un problème structurel. De nombreuses organisations continuent d’utiliser des logiciels et des serveurs obsolètes, insuffisamment protégés. Les environnements web anciens, avec des panneaux d’administration et accès FTP ouverts, sont particulièrement attractifs pour les attaquants.
Les chercheurs avertissent que même des logiciels malveillants relativement simples peuvent causer des dégâts importants tant que des systèmes mal sécurisés restent en ligne. Fin 2025, il a été établi que certains serveurs infectés étaient également utilisés par une autre famille de malwares, augmentant encore le risque.
Les résultats soulignent l’importance de mots de passe robustes, de la fermeture des accès Internet inutiles et de la mise à jour des logiciels serveurs.
Des hackers exploitent l’application de notes Obsidian pour voler des cryptos via LinkedIn
Les utilisateurs de cryptomonnaies sont visés par une nouvelle cyberattaque où des criminels détournent l’application de notes populaire Obsidian.
Des employés de Kraken ont pris des photos de données clients : la plateforme de cryptomonnaies est maintenant victime de chantage
La plateforme Kraken est victime d’un chantage par un groupe criminel affirmant détenir des données clients. Les noms et adresses d’environ 2 000 clients auraient été divulgués.
Un routeur IA dérobe de l’Ethereum dans un portefeuille de test : les chercheurs tirent la sonnette d’alarme
Dans le cadre de l’étude, les chercheurs ont analysé 428 routeurs IA, dont 28 payants et 400 gratuits provenant de sources publiques.
Le plus lu
Prévisions du cours de l’XRP : un analyste dévoile ses attentes pour 2026
L’analyste Ali Martinez anticipe une baisse de 30 % du cours de l’XRP avant un fort rallye attendu pour le deuxième semestre 2026.
La France rapatrie son or des États-Unis tandis que les Pays-Bas et l’Allemagne le laissent sur place
La France rapatrie son or des États-Unis, réalise des milliards de gains et opte pour un stockage national. Quelle est la signification de ce choix ?
Satoshi Nakamoto, fondateur du Bitcoin, fête ses 50 ans : le mystère de sa date de naissance
Pourquoi le 5 avril pourrait être plus qu’un simple anniversaire pour Satoshi et ce que cette date symbolique révèle sur le Bitcoin, l’or et la liberté financière.