Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

L’enquête approfondie de Claroty révèle que le ransomware SNAKE ne cible pas directement les systèmes de contrôle industriels (ICS)

février 2020 par Rotem Mesika et Roi Shaubi, analystes en cybersécurité chez Claroty

Malgré les nombreuses allégations selon lesquelles le ransomware Snake (également connu sous le nom d’EKANS) - découvert le mois dernier - vise à perturber les processus industriels en ciblant directement les systèmes de contrôle industriel (ICS), les chercheurs de Claroty ont révélé que ce n’est pas le cas.

Contrairement aux logiciels malveillants qui ciblent spécifiquement les ICS, tels que Triton et Industroyer, Snake ne dialogue pas avec les équipements ICS et ne dispose pas des protocoles de communication industriels requis.

La forte présence de dispositifs ICS dans la liste des victimes de Snake indique cependant que les victimes visées par le rançongiciel font bien usage de dispositifs ICS. La principale différence est que, plutôt que de chercher à perturber ces systèmes en ciblant directement les équipements ICS, Snake élargit considérablement la portée de son action en ciblant la totalité des réseaux informatiques des entreprises - dont la plupart sont connectés aux réseaux ICS et donc aux processus industriels. Par conséquent, tout dommage causé aux processus ICS est susceptible d’être un résultat du chiffrement par le ransomware de la configuration HMI et/ou d’autres types de fichiers IT essentiels aux processus ICS.

Il faut aussi souligner que selon les chercheurs de Claroty, la kill list ICS configurée dans Snake est entièrement contenue dans la kill list du ransomware MegaCortex - identifié pour la première fois en 2017. Mais malgré le contenu de sa kill list, Megacortex est historiquement connu pour ne cibler que les réseaux informatiques des entreprises, et non les réseaux ICS.

De nombreuses questions demeurent sur la relation entre Megacortex et les échantillons de Snake analysés. Bien que les deux malwares soient des ransomwares « classiques » qui partagent des comportements et des ressources similaires, comme la kill list susmentionnée, ils sont fondamentalement différents quant à la manière dont ils ont été développés. Plus précisément, Megacortex est codé en langage C++ alors que Snake est codé en langage Go, ou Golang.

Le comportement et les ressources communes pourraient indiquer que Snake et Megacortex ont été développés par le même groupe, mais cela n’a pas été prouvé et nécessite une enquête plus approfondie. Plusieurs possibilités, la première étant que certaines des parties du code, disponibles en ligne librement ou au sein de groupes privés, ont été empruntées à d’autres malwares. La deuxième étant que certains pirates ont pour habitude de développer leurs outils dans différents langages de programmation, en conservant la logique générale, afin d’éviter d’être reconnus par les outils de sécurité.

Par ailleurs, une autre explication possible de l’inclusion de certains processus ICS dans la kill list de Megacortex est qu’il s’agissait d’une décision opportuniste prise par le groupe à l’origine du malware. Il est probable que le groupe avait fait récemment face à des serveurs liés au ICS lors du développement de Megacortex et a donc choisi d’inclure des processus connexes dans la kill list afin de cibler des ressources critiques telles que les programmes liés aux ICS. Cette affirmation est étayée par le fait que Megacortex tue les processus liés aux licences, tels que le "FLEXNet Licensing Service", qui provoquera le DOS et ne chiffrera aucun fichier lié au processus, comme la configuration de l’IHM Proficy et les données Historian.

Le ransomware Snake est un rappel des risques de sécurité liés à la convergence des technologies de l’information et des systèmes de contrôle industriel (ICS) ou des réseaux de technologie opérationnelle (OT). Si Snake n’a pas la capacité de se connecter à des équipements ICS utilisant des protocoles OT, l’architecture de nombreux réseaux informatiques et ICS/OT au sein des entreprises et des infrastructures critiques permet encore au ransomware d’avoir un impact sur la disponibilité, la sécurité et la fiabilité des processus ICS.

Les recommandations de Claroty pour réduire les risques

Les chercheurs de Claroty recommandent de prendre les mesures suivantes pour réduire de manière proactive le risque d’exposition de son organisation à Snake, ainsi qu’à d’autres types de ransomwares et de malwares destructeurs :
• Segmentation du réseau : La segmentation du réseau est un élément crucial de la protection d’un réseau ICS. Claroty suggère de limiter les échanges entre les différents segments du réseau en fonction de la criticité et de l’opérabilité. Cette approche permet de limiter la propagation des malwares et l’intrusion d’attaquants au sein de son réseau ICS.
• Protection des données : Des sauvegardes fréquentes des données sont essentielles, et celles-ci doivent toujours être stockées hors ligne dans un emplacement sécurisé. Il peut également être avantageux de conserver plusieurs sauvegardes de données particulièrement critiques à différents endroits, ainsi que de tester la fiabilité de ces sauvegardes en simulant différents scénarios d’attaque.
• Mises à jour des logiciels et des microprogrammes : Les logiciels de rançon étant souvent distribués par le biais de kits d’exploitation, il est impératif de s’assurer que tous les systèmes d’exploitation, versions de logiciels, plugins et navigateurs du réseau sont régulièrement mis à jour et corrigés.
• Règles relatives au accès des utilisateurs : Les experts sont fortement encouragés à limiter les droits des utilisateurs en définissant les rôles des utilisateurs, en empêchant tous les utilisateurs, sauf ceux de confiance et concernés, d’installer et d’exécuter des programmes, en appliquant une politique de "moindre privilège" à tous les systèmes et services, et en mettant en place un contrôle d’accès des utilisateurs (UAC) pour empêcher toute modification non autorisée des privilèges des utilisateurs. De telles politiques peuvent contribuer à limiter l’exécution et/ou la propagation de logiciels malveillants au sein d’un réseau.
• Gestion du réseau : Il est important de s’assurer que les pare-feux sont correctement configurés et mis à jour, que les ports inutilisés sont surveillés et fermés et que les protocoles inutilisés sont bloqués.

Réponses aux ransomware : les bonnes pratiques

Les chercheurs de Claroty recommandent de suivre les bonnes pratiques suivantes en cas d’attaque par un ransomware sur un réseau ICS :

Limiter les dégâts

• Identifier, isoler et éliminer les actifs infectés : En les déconnectant immédiatement du réseau, on peut empêcher la propagation du logiciel de rançon sur les disques partagés et les systèmes connectés.
• Déterminer le vecteur d’infection : Pour garantir une récupération correcte des sauvegardes, il faut savoir quelles sauvegardes doivent être restaurées, à partir de quelle période - ce qui dépend généralement de la date à laquelle l’attaquant a infiltré le réseau. On sait que les attaquants pénètrent dans les réseaux pour établir une surface d’attaque aussi large que possible quelques jours, voire quelques semaines, avant que le ransomware ne soit exécuté et que la phase de chiffrement ne commence.
• Avertir les collaborateurs : Assurez-vous que les collaborateurs savent qu’une cyberattaque avec demande de rançon a eu lieu et est en cours. Ensuite, renvoyez-les au plan d’intervention de l’organisation en cas d’incident et aux procédures nécessaires à la protection des données.

Restaurer les données

• Identifier un point temporel sûr : Déterminez le moment où le logiciel de rançon a infecté votre réseau ICS. Restaurez les fichiers sains les plus récents à partir d’une sauvegarde effectuée juste avant la date d’infection.

• Restaurer les systèmes infectés : Si une base de données de production ou une application industrielle a été infectée, tirez parti des solutions de sauvegarde pour faire tourner une image ou une machine virtuelle, en quelques minutes, tout en prenant des précautions pour minimiser l’impact sur les processus d’entreprise.


Voir les articles précédents

    

Voir les articles suivants