Les ransomwares se présentent de plus en plus comme le mal de la décennie en termes de menace informatique. Et les moyens de se prémunir semblent encore bien faibles au regard des dégâts causés comme on a pu se rendre compte lors du dernier FIC de Lille. Scannant depuis plusieurs années les cybermenaces visant en particulier les systèmes industriels, la société Dragos vient de publier la version complète de son rapport dans lequel il développe son analyse sur les ransomwares qui frappent actuellement les systèmes de contrôle industriel (ICS pour industrial control system).
Découvert en décembre 2019 et analysé par les chercheurs en sécurité de MalwareHunter Team début janvier 2020, le ransowmare Snake (un alias d'Ekans) s'avère être lié à Megacortex, un ransomware qui fait parler de lui depuis deux ans et récemment pointé par l'ANSSI dans un dernier rapport. « Lors de sa découverte et de son enquête, Dragos a identifié une relation entre Ekans et un ransomware appelé Megacortex, qui contenait également certaines caractéristiques spécifiques aux ICS. L'identification du ciblage des processus industriels dans le ransomware décrit dans ce rapport est unique et représente les premières variantes connues de ransomware spécifiques aux ICS », explique Dragos.
Surveiller les outils de paramétrages d'états opérationnels
Dans son rapport, Dragos prévient que Snake/Ekans représente, en dépit de son caractère « primitif », une évolution dans les attaques ciblant les environnements de systèmes de contrôle. « Une activité de destruction de processus similaire a Ekans a été observée dans une variante plus récente (version 2) de Megacortex courant 2019, analysée et rapportée publiquement par Accenture », indique Dragos. Alors que le nombre de processus visés par Ekans est relativement limité (64), Megacortex v2 dépasse quant à lui les 1 000. « Ekans et sa variante parent supposé de Megacortex représentent un risque unique et spécifique pour les opérations industrielles non observé auparavant dans les attaques par ransomware. Alors que certaines organisations frappées doivent recourir d'urgence au mode manuel, les coûts et manques d'efficacité restent importants. »
N'employant pas de code signé, un moyen simple de limiter la propagation de ce ransomware serait tout simplement d'interdire l'exécution de binaires non signé pour contrecarrer l'exécution de ce malware. Une technique a cependant ses limites : « Malheureusement, beaucoup de fournisseurs de paquets logiciels continuent d'en distribuer sous une forme non signée, donc cette stratégie de résolution n'est pas pratique dans beaucoup de cas », prévient Dragos. Pour limiter le désastre d'une infection, mieux vaut donc agir vite et circonscrire la propagation à l'ensemble des réseaux et systèmes industriels dès que possible pour en limiter l'impact, comme surveiller leurs outils de paramétrages d'états opérationnels (tel que GE Proficy) pour identifier les cas où plusieurs endpoints cessent toute communication et reporting vers ce type d'outils approximativement au même moment. « Bien que les systèmes puissent encore être hors ligne ou compromis, l'identification de ce datapoint au début de l'enquête facilitera l'analyse des causes profondes de l'événement en identifiant les fonctionnalités spécifiques potentielles ICS, telles que celles affichées dans Ekans ».
Une origine iranienne non confirmée
Alors que des soupçons planent sur l'Iran concernant l'origine potentielle d'Ekans, Dragos prend plus de précaution et indique n'avoir analysé aucun lien ténu entre ce ransomware et les intérêts stratégiques iraniens. « Les arguments en faveur d'une implication iranienne incluent un chevauchement avec l'activité d'effacement de Dustman précédemment signalée mais il peu probable que des intrusions se soient chevauchées au même moment dans des environnements similaires, et des similitudes techniques entre Ekans et d'autres opérations connues liées à l'Iran. »
Dans mon entreprise, voilà cinq ans que tout ce qui est dangereux pour nous n'est plus sur le net et est piloté par un serveur Linux Suse, seule une partie de l'administration de l'entreprise est elle encore sur Windows et dès qu'une personne est partie le ou la remplaçante(t)est formée à Linux et les applications métiers compatibles Windows ont été soit porté ou remplacé pour être compatible Open-Suse, nous prévoyons la fin totale de Windows dans l'entrepris de 2023.
Signaler un abusAucun portable ou smartphone ne peut entrer dans le réseau sans le passage chez nos informaticiens qui les sécuriseront, les clefs USB sont interdites comme tout autre système de copie, c'est une clause qui transgressée et le renvoie pour faute grave sans indemnités et pourrait être porté en justice pour piratage.
réponse à Visiteur13249 : "..le Bitcon est traçable comme beaucoup .." Si l'on devait peindre en vert les (Bit)cons, on serait toujours à la campagne...
Signaler un abusTechniquement ce sont les plus grosses entreprises qui sont moins bien sécurisées que les petites ; pourtant pour les deux le budget sécurité pèse au niveau des finances ; ces cyberattaques vont de fil en aiguille augmenter le poids financier de la sécurité des réseaux et peut être même que certaines entreprises feront en sorte de limiter drastiquement l'accès à leur "groupes de réseaux" est-ce normal qu'une aide respiratoire soit 'attaquable depuis l'extérieur" ? si ça arrive c'est que le réseau le permet donc il faut revoir le maillage parce que si les patients meurent à cause d'un piratage c'est la responsabilité de l’hôpital et alors une étude du niveau de sécurité sera faite pointant du doigts les aberrations du réseau et de la société assurant la sécurité de l’hôpital ; y a des têtes qui vont tomber ... il faudrait vraiment s'intéresser à rendre ces appareils inaccessible depuis l'extérieur et seulement depuis 2 ou 3 postes à accès sécurisé ; parce que les familles des victimes chercheront des responsables et leur rétorquer que c'est un piratage ne suffira pas ... ces attaques font apparaître un malaise ... mais vont permettre certaines entreprises à changer leur habitudes pour innover ou s'assurer de ne pas en faire les frais ; c'est possible mais faut arrêter des solutions cloud/virtuel peu ou pas maîtrisées ; car quand on maîtrise pas on reste spectateur même en étant administrateur réseau ... faut arrêter l'approximation je pense même que l'état devrait débloquer des subventions pour aider tous les organes vitaux 'santé, police, sapeur' qu'on puisse s'appuyer dessus sans trop de crainte et pas découvrir tous les 4 matins que tel hopital, telle caserne, peut être sabotée de l'extérieur du jour au lendemain ... parce que à ce moment là le RGPD vaut mieux sucrer les "sanctions" parce que toutes les entreprises Françaises et Européennes finiront par être pirater ; alors quoi ? on va faire tout fermer parce que le malaise est mondiale ? non je pense qu'à un moment faut aider au lieu de tirer à vue ; parce que quand ils auront tout tué ils n'auront plus de cibles à tirer...mais le pays sera dans une sacrée mouise ....
Signaler un abusVisiteur13239, renseigne-toi sur les cryptes... le Bitcon est traçable comme beaucoup sur d’autres cryptos, c’est certaines cryptos qui sont intracables.
Signaler un abusEt niveau spéculation pour le BT on parle d’une crypto qui a une limite de 21millions d’unités, c’est pas comme ces puta*** de banques qui impriment des billets à la chaîne et crées des inflations constantes qui font perdre le pouvoir d’achat au peuple...
Donc stop les conneries un peu.
Par contre Anakore a 100% raison, c’est inadmissible de voir avec quelle simplicité il est (par exemple) possible de ce connecter à un réseaux d’hôpital et pouvoir couper toutes les machine d’aide respiratoire ou autres.
A croire que les entreprises n’ont jamais entendu parler de Linux 🤔
Il est temps de faire tourner les machines industrielles sur des systèmes différents de Windows ... Souvent en entreprise y a les pc ayant accès sur l'extérieur qui sont archi sécurisé mais les postes utilisateurs ou les machines connectés au réseau ne le sont que pour les utilisateurs par de simples mot de passe quand y en a .... Après faut s'étonner d'essuyer des malaises de ce type qd Renault a été touché c'est dommage que les autres n'aient pas fait le nécessaire ...
Signaler un abusLes cybercriminels se font payer en bitcoins. On sait bien qu'avec les cryptomonnaies, de part l'impossibilité de tracer les transactions, sont un encouragement aux criminels et escrocs de tous genres. C'est là qu'il faut agir. Les cryptomonnaies n'ont aucune valeur ajoutée autre que leur nature spéculative. Alors quand va t-on enfin ouvrir les yeux ?
Signaler un abus