Comment se défendre contre Snake, le ransomware qui cible les processus industriels

Depuis janvier dernier, les chercheurs en cybersécurité planchent sur le ransomware Snake, qui cible en partie les processus industriels, pour analyser son code malveillant. Deux d’entre eux prodiguent à Industrie & Technologies leurs conseils pour éviter l’infection.

Partager
Comment se défendre contre Snake, le ransomware qui cible les processus industriels

Si sa découverte a alerté la communauté des chercheurs en cybersécurité , le ransomware Snake (ou Snakehose, ou encore Ekans), taillé pour neutraliser des processus industriels, ne semble pas avoir fait de dégât connu à ce jour – son implication dans la cyberattaque contre la compagnie pétrolière de Bahreïn (Bapco), évoquée par l’éditeur Sentinel One, est remise en cause par un autre spécialiste de la sécurité, FireEye.

L’occasion pour les fournisseurs d’équipements et de logiciels industriels ciblés par Snake, comme General Electric, Honeywell ou encore Parametric Technology Corporation (PTC), d’agir pour éviter l’infection ? « Malheureusement pour les vendeurs, il n’y aucune parade à leur niveau », répond David Grout, chercheur français en sécurité chez FireEye.

Aux industriels eux-mêmes d'agir

La raison de cette impuissance : comme tous les ransomwares, Snake n’agit pas sur les protocoles industriels (Modbus, Profinet…) mais en ordonnant l’arrêt de services industriels (interfaces hommes-machines, logiciels de gestion de logs et de backup, passerelles IoT…) via Windows.

« Ce sont plutôt aux industriels eux-mêmes d’agir pour améliorer leur hygiène, rappelle David Grout. Ils doivent mettre en place la segmentation de leurs réseaux pour éviter une pandémie, veiller à ce que le maximum de systèmes soient à jour et les correctifs activés pour ouvrir le moins de fenêtres possibles à l’attaquant. Ensuite, ils doivent se munir d’outils de contrôle des réseaux et des logiciels pour observer en temps réel les comportements anormaux des machines et réagir vite. »

Et si vous êtes déjà infectés ?

S’il chiffre les fichiers avec des algorithmes assez classiques (AES-256 and RSA-2048), Snake ne renomme pas les fichiers chiffrés, comme c’est généralement le cas, mais ajoute un fichier nommé Fix-Your-Files.txt, dans lequel il propose une solution payante pour les déchiffrer. Néanmoins, les experts en cybersécurité recommandent de ne pas céder à cette proposition car la victime n’a aucune garantie de recevoir ledit outil. Supprimer Snake est théoriquement possible mais la procédure est fastidieuse : il faut démarrer le mode sans échec de Windows puis en restaurer le système, supprimer Snake grâce à un logiciel commercial (comme Spyhunter ou Malwarebytes anti-ransomware) puis essayer de récupérer les fichiers chiffrés avec un outil tel que Shadow Explorer.

Ecriture unique, lecture multiple pour éviter le chiffrement de ses données

Christophe Lambert, directeur technique grands comptes pour l'Europe, l'Afrique et le Moyen Orient du fournisseur de solutions pour la gestion de données Cohesity, préconise d’adopter l’approche « Write once read many » (Worm, ou « écriture unique, lecture multiple »), plutôt que de s’appuyer sur les droits d’utilisateurs.

L’approche Worm consiste à rendre les fichiers immuables une fois que l’on a écrit une donnée dessus. Avec une telle approche, un ransomware comme Snake sera certes toujours capable de neutraliser certains services mais pas de chiffrer les fichiers. « L’industriel pourra donc facilement revenir à une sauvegarde précédente du système afin de repartir rapidement en production », ajoute le spécialiste de la protection de données.

Partage d'information

Au-delà de ces mesures préventives individuelles, « difficiles à mettre en place lorsque l’on a des dizaines, voire des centaines de machines dans son parc », concède David Grout, le travail de préparation contre ce type de cybermenaces doit être collectif. A ce sujet, le chercheur en sécurité encourage le création de centres d’analyse et de partage de l’information (Information Sharing and Analysis Centers, Isac), sortes d’associations d’entreprises, souvent du même secteur, dédiées au partage du renseignement relatif aux cybermenaces, voire aux cyberattaques dont elles ont été victimes.

David Grout voit enfin d’un très bon œil la publication, en janvier dernier, d’ATT&CK for ICS , base de connaissance des cyberattaques visant les réseaux industriels de l’éditeur américaine Mitre, « un outil précieux pour que les industriels comprennent comment ils peuvent se prémunir contre de telles attaques ».

Le feu de circulation, un standard du renseignement cyber

Initialement créé dans les années 2000 par l’Agence de cybersécurité britannique (alors NISCC, aujourd’hui CPNI), le traffic light protocol (TLP, ou « protocole du feu de circulation ») est devenu le système standard pour partager des informations relatives aux cyberattaques, utilisé notamment par les agences états-unienne (Cisa), européenne (Enisa) et française (Anssi) et par les Centres de partage et d’analyse d’information (Isac). Selon ce protocole, la victime d’une cyberattaque attribue – ou, parfois, l’agence nationale de cybersécurité la force à attribuer – une couleur désignant le niveau de partage de l’information :

  • Rouge (« TLP:RED ») : uniquement pour les destinataires désignés par l’émetteur, au sein d’une réunion privée, par exemple.
  • Orange (« TLP:AMBER ») : au sein d’un service de l’entreprise, voire de l’entreprise.
  • Vert (« TLP:GREEN ») : au sein d’une partie de la communauté cyber.
  • Blanc (« TLP:WHITE ») : diffusion libre.

SUR LE MÊME SUJET

Sujets associés

NEWSLETTER L'hebdo de la techno

Nos journalistes sélectionnent pour vous les articles clés de l'innovation technologique

Votre demande d’inscription a bien été prise en compte.

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes...

Votre email est traité par notre titre de presse qui selon le titre appartient, à une des sociétés suivantes du : Groupe Moniteur Nanterre B 403 080 823, IPD Nanterre 490 727 633, Groupe Industrie Service Info (GISI) Nanterre 442 233 417. Cette société ou toutes sociétés du Groupe Infopro Digital pourront l'utiliser afin de vous proposer pour leur compte ou celui de leurs clients, des produits et/ou services utiles à vos activités professionnelles. Pour exercer vos droits, vous y opposer ou pour en savoir plus : Charte des données personnelles.

LES ÉVÉNEMENTS L'USINE NOUVELLE

LES PODCASTS

Les recettes de l'horlogerie suisse

Les recettes de l'horlogerie suisse

Nouveau

Dans ce nouvel épisode de La Fabrique, notre journaliste Gautier Virol nous dévoile les coulisses de son reportage dans le jura suisse au coeur de l'industrie des montres de luxe. 

Écouter cet épisode

Le rôle des jeux vidéo dans nos sociétés

Le rôle des jeux vidéo dans nos sociétés

Martin Buthaud est docteur en philosophie à l'Université de Rouen. Il fait partie des rares chercheurs français à se questionner sur le rôle du jeu vidéo dans nos...

Écouter cet épisode

Les coulisses d'un abattoir qui se robotise

Les coulisses d'un abattoir qui se robotise

Dans ce nouvel épisode de La Fabrique, Nathan Mann nous dévoile les coulisses de son reportage dans l'abattoir Labeyrie de Came, dans les Pyrénées-Atlantiques, qui robotise peu à peu...

Écouter cet épisode

La renaissance des montres Kelton

La renaissance des montres Kelton

Le designer Vincent Bergerat donne une nouvelle vie aux montres Kelton. Dans ce nouvel épisode du podcast Inspiration, il explique au micro de Christophe Bys comment il innove et recrée l'identité...

Écouter cet épisode

Tous les podcasts

LES SERVICES DE L'USINE NOUVELLE

Trouvez les entreprises industrielles qui recrutent des talents

BUREAU VERITAS

Auditeur QSE (F-H-X)

BUREAU VERITAS - 23/06/2022 - CDI - Lille

+ 550 offres d’emploi

Tout voir
Proposé par

Accédez à tous les appels d’offres et détectez vos opportunités d’affaires

77 - Mitry-Mory

Fourniture de colis de Noël pour personnes âgées

DATE DE REPONSE 09/12/2022

+ de 10.000 avis par jour

Tout voir
Proposé par

ARTICLES LES PLUS LUS