Cybermenaces : pour la première fois, un ransomware s’attaque directement aux opérations industrielles
C’est une première mondiale : les sociétés de cybersécurité Dragos et Sentinel One ont identifié un ransomware capable de comprendre et de chiffrer non seulement les systèmes d’information d’entreprise mais aussi les communications entre machines industrielles à l’intérieur de l’atelier. Une découverte qui laisse entrevoir de nouvelles cybermenaces..
Grande tendance des cyberattaques en 2019, les rançongiciels (ransomwares) sont bien partis pour monopoliser la une de l’actualité cyber en 2020. Et avec le piratage des systèmes d’information de Bouygues Construction depuis le 30 janvier dernier, revendiqué par le groupe cybermalveillant Maze, et celui, le lendemain, du groupe australien de transport maritime de marchandise Toll, l’industrie semble s’imposer comme l’une des nouvelles cibles de choix.
Jusqu’à maintenant, la quasi-totalité des ransomwares se contentaient seulement d’infiltrer les systèmes d’information d’entreprise (IT) de ces groupes industriels et d’en chiffrer les informations stockées. Généralement, une telle opération paralyse certes un grand nombre de terminaux pendant quelques jours ou quelques semaines mais ne crée pas de dommage physique. Mais la situation pourrait bien devenir plus préoccupante en 2020.
Snake peut chiffrer 64 protocoles de communications, IT et OT
Les firmes américaines d’analyse des cybermenaces Dragos et Sentinel One ont identifié un ransomware d’un nouveau genre qui pourrait bien directement mettre en péril les opérations critiques des sites industriels, rapporte Wired ce 4 février. Baptisé Snake (ou EKANS), ce rançongiciel est programmé pour chiffrer les protocoles de communication entre les machines industrielles – ce qu’on appelle l’OT – que l’on retrouve dans toutes sortes d’usines, y compris les plus sensibles (industrie manufacturière, réseaux d’électricité, sites d’enrichissement de l’uranium…).
2020-01-06: ????????#Golang #Ransomware "#EKANS" aka "#SNAKE"????
— Vitali Kremez (@VK_Intel) January 6, 2020
????Targeted Ransomware|"We breached your corporate network..."
Str->'FileName'->'IV'->'ENCRYPTED_AES_Key'->'EKANS' Marker
Path:
????C:/Users/WIN1/go/src/.../crypt.go
h/t @malwrhunterteam cc @demonslay335 @BleepinComputer pic.twitter.com/mnf4fhYlD4
Le chercheur en cybersécurité chez Sentinel One, Vitali Kremez, à l'origine de la découverte de Snake avec un groupe appelé Malware Hunter Team, a été le premier a la rendre publique, le 6 janvier dernier.
Selon ces sociétés de cybersécurité, Snake serait capable de chiffrer 64 protocoles de communication, parmi lesquels certains sont liés au système d’exploitation Windows, dominant dans l’IT d’entreprises, mais aussi d’autres permettant d’utiliser des logiciels industriels fournis par General Electric (Proficy, Fanuc automation), Honeywell ou encore Parametric Technology Corporation (ThingWorks). Snake aurait déjà été utilisé pour infiltrer les réseaux OT de la compagnie nationale de pétrole de Bahreïn, Bapco, affirme Sentinel One.
Selon Dragos, ce logiciel malveillant pourrait être une évolution de Megacortex, un programme informatique identifié au printemps 2019 dont les chercheurs en cybersécurité avaient négligé, à l’époque, d’analyser les capacités de chiffrement des protocoles de communication industriels, estime Wired.
Pour en savoir plus sur le ransomware Snake, lire l’article « Mysterious New Ransomware Targets Industrial Control Systems », sur Wired.
Sélectionné pour vous
