hAnt : vague d’attaque ransomware en Chine sur les Antminers S9, T9 & L3+
Les ransomwares foisonnent malheureusement de plus en plus, bloquant des ordinateurs ou récupérant des données pour ensuite les rançonner, contre des cryptos notamment. Des rançons en bitcoins (BTC) avaient d’ailleurs récemment été demandées contre des documents relatifs aux évènements du 11 septembre 2001. Mais ici, ce sont les Antminers – les mineurs ASIC de Bitmain – qui semblent être la cible de demande de rançons.
Plusieurs modèles de Antminers infectés par hAnt
C’est média local chinois Yibenchain qui a raconté en premier les étranges prises de contrôle forcées de machines de minage Antminers.
Nommé « hAnt » par son concepteur, ce virus fait tout d’abord apparaître un écran vert avec une fourmi et deux pioches sur ses côtés, avant d’afficher une menace sous forme de texte rouge sur fond noir (en anglais et en chinois) annonçant la situation aux malheureuses victimes et demandant une rançon en bitcoins (voir photos d’écran ci-dessous).
Répandre l’infection ou payer une rançon
Le message de menace explique en substance :
« Je suis hAnt ! Je continuerai à attaquer votre Antminer. Tant que vous répandez [le virus] par cette machine infectée, mon serveur vérifie qu’il y a 10 nouvelles adresses IP et que le nombre d’Antminers [infectés] atteint 1 000. Je vais arrêter de vous attaquer ! Sinon, je vais éteindre le ventilateur et la protection contre la surchauffe de votre mineur, ce qui vous fera brûler votre machine ou même votre maison.
Cliquez sur le bouton ‘Diwnload firmware patch’ (sic) pour télécharger le correctif de firmware avec votre ID spécifique. Il suffit de le mettre à jour sur votre Antminer normal pour être infecté.
(…)
Ou transférez 10 BTC, et je vais arrêter d’attaquer. »
Le choix est donc clair pour les victimes : aider à répandre le virus à 1000 autres Antminers, ou payer 10 bitcoins de rançon.
Selon le fondateur du pool BTC.Top, Jiang Zhuo’er, interrogé par 8btc, ce virus hAnt aurait déjà été détecté sur des mineurs Bitcoin S9 et T9, mais aussi sur des mineurs Litecoin L3 +.
Il explique également que ce virus – basé sur Linux – serait à l’origine un micrologiciel d’overclocking, détourné de sa fonction, et que hAnt toucherait presque exclusivement (et étrangement) la Chine.