Hack news
Des cybercriminels ont pris le contrôle de dizaines de milliers de serveurs mal sécurisés à travers le monde pour créer un vaste botnet visant le vol de cryptomonnaies. C’est ce qu’indique une nouvelle étude du spécialiste en cybersécurité Check Point. Les attaques exploitent des mots de passe faibles et des serveurs insuffisamment protégés, directement reliés à Internet.
Selon les chercheurs, plus de 50 000 serveurs sont actuellement vulnérables. Ces systèmes sont utilisés pour accéder à des infrastructures liées aux cryptomonnaies et vider finalement les portefeuilles numériques.
Attaques via le malware GoBruteforcer
Les attaques sont menées à l’aide d’un logiciel malveillant appelé GoBruteforcer. Ce programme tente de se connecter automatiquement aux serveurs en testant des noms d’utilisateur et des mots de passe courants. Une fois l’accès obtenu, les attaquants disposent d’un contrôle total sur le système.
Le malware cible principalement les serveurs Linux exécutant des services largement utilisés tels que FTP, MySQL, PostgreSQL et phpMyAdmin. Ces systèmes, souvent utilisés pour des sites web et des bases de données, sont régulièrement insuffisamment sécurisés.
Un serveur infecté devient partie intégrante du botnet et peut ensuite être utilisé pour attaquer d’autres serveurs vulnérables. Les attaquants peuvent également voler des données, créer des comptes supplémentaires ou vendre l’accès au serveur.
Des millions de serveurs accessibles au public
L’une des causes majeures de ces attaques à grande échelle est le nombre important de serveurs ouverts au trafic Internet. À l’échelle mondiale, on estime que des millions de serveurs FTP et de bases de données sont directement accessibles via des ports standard, souvent sans sécurité renforcée.
GoBruteforcer a été observé pour la première fois en 2023, mais les chercheurs ont découvert une variante plus avancée à la mi-2025. Cette version est plus difficile à détecter et reste active plus longtemps sur les systèmes infectés.
Mots de passe faibles et configurations générées par IA
De nombreuses attaques réussissent en raison d’erreurs de sécurité basiques. Les pirates utilisent des noms d’utilisateur standards comme appuser et myuser, combinés à des mots de passe faibles tels que admin123456. Ces combinaisons proviennent souvent directement de manuels en ligne et de guides d’installation.
Check Point souligne également que les manuels de configuration générés par IA contribuent au problème. Ceux-ci reprennent les mêmes réglages d’exemple, entraînant une utilisation à grande échelle d’identifiants de connexion faibles identiques.
En outre, les attaquants ciblent délibérément des comptes avec des noms liés aux crypto, tels que cryptouser et crypto_app, espérant trouver des serveurs associés aux monnaies numériques.
Ciblage des portefeuilles crypto avec solde
Les chercheurs ont découvert que certains serveurs infectés étaient utilisés pour scanner des adresses blockchain afin de détecter des soldes. Des milliers de portefeuilles TRON ont notamment été contrôlés. Sur les systèmes découverts, des outils permettaient de siphonner automatiquement les cryptomonnaies dès qu’un portefeuille contenait des fonds.
L’analyse des transactions sur la blockchain indique qu’une partie de ces attaques a réussi. Cela confirme que les projets crypto et les infrastructures blockchain sont des cibles intentionnelles des campagnes d’attaque.
Les logiciels obsolètes restent un risque permanent
Selon Check Point, cette vague d’attaques résulte d’un problème structurel. De nombreuses organisations continuent d’utiliser des logiciels et des serveurs obsolètes, insuffisamment protégés. Les environnements web anciens, avec des panneaux d’administration et accès FTP ouverts, sont particulièrement attractifs pour les attaquants.
Les chercheurs avertissent que même des logiciels malveillants relativement simples peuvent causer des dégâts importants tant que des systèmes mal sécurisés restent en ligne. Fin 2025, il a été établi que certains serveurs infectés étaient également utilisés par une autre famille de malwares, augmentant encore le risque.
Les résultats soulignent l’importance de mots de passe robustes, de la fermeture des accès Internet inutiles et de la mise à jour des logiciels serveurs.
Le dirigeant d’OpenZeppelin qualifie toutes les plateformes DeFi d’insécurisées
Selon DeFiLlama, plus de 1,1 milliard de dollars ont été perdus au cours des douze derniers mois à cause de piratages et d’exploits dans les projets DeFi.
Des annonces Google Ads utilisées pour une arnaque Uniswap : 400 000 $ de crypto volés
L’attaque a été menée via de fausses annonces dans Google Search, redirigeant les utilisateurs vers une version frauduleuse du site Uniswap.
Des hackers exploitent Claude et Cursor pour vider des portefeuilles crypto
Une nouvelle campagne de malware nommée ‘TrapDoor’ représente une menace sérieuse pour les développeurs des secteurs crypto et IA.
Le plus lu
La SEC se prépare à une avancée historique avec des versions crypto d’actions
La SEC élabore un plan pour le commerce de versions crypto d’actions américaines. Les tokens pourront être émis sans l’autorisation des entreprises.
La Turquie se défait de presque tous ses bons du Trésor américains en mars
En mars, la Turquie a vendu presque tous ses bons du Trésor américains pour soutenir la livre lors de la guerre en Iran. Le montant tombe à 1,8 milliard.
Le cours du XRP vers 50 dollars ? Les analystes anticipent une percée majeure imminente
Les analystes prévoient une hausse du XRP vers 50 dollars, tandis qu’une nouvelle législation américaine sur les cryptomonnaies pourrait entraîner une percée majeure sur le marché.