Le ransomware Ragnar Locker continue à harceler le secteur de l'énergie

La récente attaque contre le plus grand opérateur grec de transport de gaz naturel DESFA par le gang de rançongiciels Ragnar Locker est la dernière d'une liste croissante d'incidents où des groupes spécialisés dans les ransomwares ont attaqué des sociétés énergétiques. Cet acteur malveillant semble préférer les secteurs des infrastructures critiques, ayant ciblé plus de 50 organisations de ce type aux États-Unis au cours des deux dernières années. Selon une dernière analyse réalisée par des chercheurs de Cybereason, Ragnar Locker est une menace croissante qui utilise des couches de chiffrement pour masquer les instructions dans son binaire et éradique divers processus associés à la connexion et à l'assistance à distance.

L'attaque contre DESFA a été révélée la semaine dernière lorsque le gang Ragnar Locker a publié 360 Go de données volées à l'entreprise via son site de fuite de données. Comme les groupes de rançongiciels modernes, celui-ci utilise une double extorsion, d'abord en chiffrant les fichiers et en rançonnant la clé de décryptage, puis en volant les données sensibles des victimes et en menaçant de les divulguer. DESFA a confirmé le 20 août qu'il était la cible d'une cyberattaque et a déclaré qu'il n'envisageait pas de négocier avec les attaquants. La société, qui exploite les systèmes grecs de transport et de distribution de gaz naturel, a déclaré que si certains de ses systèmes informatiques étaient touchés, l'approvisionnement en gaz naturel n'était pas perturbé.

Une liste croissante de victimes de ransomwares dans le secteur de l'énergie

Même si la distribution de gaz n'a pas été affectée dans cette affaire, l'attaque par rançongiciel de mai 2021 contre Colonial Pipeline, un important exploitant d'oléoducs et d'essence aux États-Unis, est la preuve que de telles perturbations peuvent se produire et qu'elles peuvent avoir un impact économique majeur, surtout à un moment où alors que l'Europe est confrontée à la hausse des prix de l'énergie et aux pénuries de gaz. Colonial Pipeline a été contraint de fermer son pipeline pendant des jours, provoquant des pénuries de carburant sur la côte est des États-Unis. Début août, le groupe de rançongiciels Hive a revendiqué une attaque contre le producteur chinois de gaz et d'énergie ENN Group. En juillet, Creos, une société qui gère des réseaux électriques et des gazoducs au Luxembourg, a été touchée par le gang de rançongiciels BlackCat. Et il y a deux semaines, South Staffordshire Plc, un service d'eau britannique, a subi une cyberattaque par le gang de rançongiciels Clop. En début de semaine, l'opérateur italien Eni a confirmé un incident de sécurité sur son réseau après un article de Bloomberg parlant d'une attaque par ransomware.

Ragnar Locker semble également se concentrer sur les opérateurs d'importance vitale. En mars, le FBI a émis une alerte concernant ces acteurs selon lesquelles depuis 2020, il a identifié au moins 52 entités dans dix secteurs d'infrastructures critiques aux États-Unis qui ont été touchées par ce ransomware, dont des organisations dans les secteurs critiques de la manufacture, de l'énergie et des services financiers, des institutions gouvernementales et des technologies de l'information. Depuis la récente attaque DESFA, Ragnar Locker a également revendiqué une attaque contre la compagnie aérienne porte-drapeau portugaise, TAP Air Portugal.

Comment Ragnar Locker crypte les systèmes

Une fois déployé sur un ordinateur, le rançongiciel Ragnar Locker vérifie d'abord si les paramètres régionaux du système sont définis sur l'un des 12 pays de la Communauté des États indépendants (CEI) et arrête de s'exécuter s'il y a une correspondance. Il s'agit d'une technique courante utilisée par les auteurs de rançongiciels des pays de l'ex-URSS pour éviter d'attirer l'attention des autorités locales de leur région. Le programme collecte ensuite des informations système, telles que le nom de l'ordinateur, le nom d'utilisateur, le GUID unique de la machine et crée une valeur de hachage qui sera utilisée comme identifiant pour la machine victime. Il parcourt ensuite tous les volumes de disque locaux et supprime les snapshots de volume pour empêcher une récupération facile des données.

Le logiciel malveillant commence alors à déchiffrer certaines sections de son binaire qui ont été chiffrées en RC4. Une section contient une liste de processus qui seront tués s'ils sont trouvés en cours d'exécution sur la machine. Ceux-ci incluent vss, sql, memtas, mepocs, sophos, veeam, backup, pulseway, logme, logmein, connectwise, splashtop, kaseya, vmcompute, Hyper-v, vmms et Dfs. Certains de ces processus sont associés à des outils d'assistance à distance ou à des services de sauvegarde de données. Une autre section - également chiffrée en RC4 - contient une clé publique RSA qui sera utilisée pour crypter les clés de chiffrement des fichiers. Le ransomware utilise l'algorithme de cryptage performant Salsa20 pour chiffrer les fichiers, à l'exception de ceux figurant sur une liste d'exclusion qui sont destinés à maintenir le système et tous les navigateurs installés opérationnels. Les fichiers chiffrés reçoivent le suffixe .ragnar_[nom d'ordinateur haché]. Enfin, la note de rançon est générée sous forme de fichier .txt et s'affiche en lançant un bloc-notes. Celui-c- contient des instructions sur la façon de contacter les attaquants ainsi qu'un avertissement indiquant que si aucun contact n'est établi dans les deux semaines, la clé de déchiffrement sera supprimée et tous les fichiers copiés à partir des ordinateurs de l'organisation seront rendus publics ou vendus.

Les opérations OT continuellement perturbées

Selon un rapport publié ce mois-ci par la société de cybersécurité industrielle Dragos, 125 incidents de ransomwares ont été lancés par 23 groupes qui ont eu un impact sur les industriels au cours du deuxième trimestre 2022. Conti, un gang prolifique de ransomwares qui aurait arrêté ses opérations en mai, représentait environ un quart de ces attaques, mais d'autres groupes poursuivent clairement la tendance. L'Europe a été la région la plus touchée, avec 37 % des attaques, suivie des États-Unis avec 29 % et de l'Asie avec 26 %.

« Au troisième trimestre 2022, Dragos évalue avec une grande confiance que les ransomwares continueront de perturber les opérations OT [operational technology], que ce soit par l'intégration de processus de destruction OT dans des souches de ransomwares, des réseaux affaiblis (flattened) permettant aux ransomwares de se propager dans les environnements OT, ou par précaution avec la fermetures des environnements OT par les opérateurs pour empêcher toute propagation », a déclaré la société.