IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le nouveau ransomware ne se contente pas de chiffrer les données,
Il s'attaque également aux infrastructures critiques, selon un rapport

Le , par Stan Adkens

43PARTAGES

14  0 
Les attaques par les logiciels de rançon pour faire cesser le bon fonctionnement dans les hôpitaux, les usines et autres environnements critiques se sont multipliées au fil des années, occasionnant des dommages essentiellement dans les systèmes informatiques des réseaux infectés. Selon un nouveau rapport publié lundi, un nouveau type de ces logiciels malveillants, apparu en décembre, va au-delà de cette pratique et altère intentionnellement les systèmes de contrôle industriels sur lesquels les barrages, les réseaux électriques et les raffineries de gaz comptent pour assurer le fonctionnement des équipements en toute sécurité.

Les chercheurs de l'entreprise de sécurité Dragos, qui ont découvert cette nouvelle attaque, ont appris l’existence de la souche du ransomware baptisée Ekans plus tôt en janvier. Il était déjà connu qu’Ekans contient les routines habituelles pour désactiver les sauvegardes de données et le chiffrement de masse des fichiers sur les systèmes infectés. Mais lors de leurs propres recherches, les chercheurs de Dragos ont trouvé autre chose qui pourrait être plus perturbant. Bien qu'il soit relativement simple en tant qu'échantillon de ransomware en termes de chiffrement de fichiers et d'affichage d'une note de rançon, Ekans propose des fonctionnalités supplémentaires pour arrêter de force un certain nombre de processus, y compris plusieurs éléments liés aux systèmes de contrôle industriels (ICS).


Les chercheurs ont découvert l’existence d’un code qui recherche activement et arrête de force les applications ICS. Selon leur rapport, avant de procéder aux opérations de chiffrement des fichiers, Ekans arrête («tue») les processus répertoriés par nom de processus dans une liste codée en dur dans les chaînes codées du logiciel malveillant. Alors que certains des processus référencés semblent concerner des logiciels de sécurité ou de gestion, la majorité des processus répertoriés concernent des bases de données, des solutions de sauvegarde de données ou des processus liés à l'ICS.

Procédures d’attaque au ransomeware Ekans spécifiques aux opérations ICS

Selon le rapport, par le passé, les logiciels de rançon axés sur les systèmes informatiques pourraient avoir un impact sur les environnements de systèmes de contrôle, s'ils pouvaient migrer vers des parties des réseaux de ces systèmes, qui sont généralement séparés et mieux fortifiés. Ainsi, toute perturbation des opérations ICS causée par un ransomeware est le résultat d'une propagation trop agressive de logiciels malveillants entraînant des répercussions sur les systèmes de contrôle. Mais, d’après les chercheurs de Dragos, cette situation a changé avec Ekans.

« Ekans (et apparemment certaines versions de MegaCortex) a modifié ce récit, car les fonctionnalités spécifiques aux ICS sont directement référencées dans le logiciel malveillant. Bien que certains de ces processus puissent résider dans des réseaux informatiques d'entreprise typiques, tels que les serveurs Proficy ou les serveurs Microsoft SQL, l'inclusion de logiciels IHM, de historian clients et d'éléments supplémentaires indique une connaissance minimale, quoique grossière, des processus et des fonctionnalités de l'environnement du système de contrôle ».

Au total, Ekans arrête 64 processus, y compris ceux générés par Proficy data historian de General Electric, avec des processus clients et serveurs inclus. Sont également référencés dans Ekans, d'autres fonctionnalités spécifiques à l'ICS, notamment les services de serveur de licence GE Fanuc et l'application HMIWeb de Honeywell. Les autres éléments liés au ICS sont la surveillance à distance ou les instances de serveur de licences telles que les gestionnaires de licences FLEXNet et Sentinel HASP.

Selon le rapport, les fichiers sont renommés après le chiffrement en ajoutant cinq caractères aléatoires en lettres majuscules et minuscules à l'extension du fichier d'origine, comme le montre l’image ci-dessous, par exemple, où les fichiers PYD sont chiffrés.


Ekans considéré comme une attaque minimale et « relativement primitive »

Le malware Ekans arrête simplement divers processus créés par des programmes ICS couramment utilisés, selon le rapport. Pour cette raison, les chercheurs ont décrit le ciblage des opérations ICS par Ekans comme étant minimal et grossier. Pour eux, c’est un élément clé de différenciation par rapport aux logiciels malveillants découverts ces dernières années ciblant l'ICS et capables de causer des dommages beaucoup plus graves.

Un exemple est Industroyer, le malware sophistiqué qui a causé une panne de courant en Ukraine en décembre 2016 dans une tentative délibérée et bien exécutée de laisser les ménages sans électricité pendant l'un des mois les plus froids du pays. Un autre exemple est celui de Trisis (alias Triton), qui a délibérément altéré des systèmes conçus pour prévenir des accidents mettant en danger la santé et la vie des personnes à l'intérieur d'une infrastructure critique au Moyen-Orient. D'autres exemples sont le ver Stuxnet qui a ciblé le programme nucléaire iranien il y a dix ans et le logiciel malveillant BlackEnergy utilisé pour créer un black-out régional en Ukraine en décembre 2015.

En effet, les logiciels Industroyer, Trisis et les autres exemples contenaient des codes qui, de manière chirurgicale et minutieuse, ont altéré, cartographié ou démantelé certaines fonctions hautement sensibles à l'intérieur des sites d'infrastructures critiques qu'ils visaient. Ekans et une récente version de MegaCortex, en revanche, arrêtent simplement les processus engendrés par les logiciels d’ICS. Le niveau réel d'impact qu'Ekans ou MegaCortex sensible à l'ICS peut avoir sur les environnements industriels n'est pas bien connu.

Une autre raison pour laquelle les chercheurs de Dragos considèrent Ekans comme une « attaque relativement primitive » est que le logiciel de rançon n'a pas de mécanisme pour se propager. Cela fait d'Ekans une menace beaucoup moins importante que les logiciels de rançon tels que Ryuk, qui recueille discrètement pendant des mois des informations d'identification sur le système ciblé afin de pouvoir éventuellement proliférer largement à travers presque toutes les parties du système.

Le rapport de Dragos a aussi remis en question les récentes informations selon lesquelles Ekans aurait été créé par l'Iran. Ces informations qui étaient basées sur les résultats des recherches de la société de sécurité Otorio, ont cité des similitudes avec des logiciels malveillants et des opérations iraniennes connues auparavant, en mettant l’accent sur les liens prétendument prouvés avec «les intérêts stratégiques iraniens». Cependant, d’après les recherches de Dragos, « Bien que tout lien avec des "intérêts stratégiques" soit possible étant donné la taille et la portée de la stratégie à long terme de la plupart des États, l'analyse de Dragos conclut que tout lien de ce type est incroyablement ténu sur la base des preuves disponibles ».

Toutefois, malgré le manque de sophistication et l'absence de liens établis avec les États-nations, Ekans mérite une attention particulière de la part des organisations qui mènent des opérations ICS, a recommandé Dragos.

« Alors que toutes les indications actuelles montrent un mécanisme d'attaque relativement primitif sur les réseaux de systèmes de contrôle, la spécificité des processus énumérés dans une "liste d'exclusion" statique montre un niveau d'intentionnalité auparavant absent des logiciels de rançon ciblant l'espace industriel », ont écrit les chercheurs de Dragos. « Les propriétaires et les opérateurs de systèmes ICS sont donc fortement encouragés à examiner leur surface d'attaque et à déterminer les mécanismes permettant de livrer et de distribuer des logiciels malveillants perturbateurs, tels que les ransomewares ayant des caractéristiques spécifiques à ICS ».

Il est vrai qu’on ne sait pas encore exactement quel effet l'arrêt de ces processus aurait sur la sécurité des opérations à l'intérieur des installations infectées, mais le rapport montre que nous passons de la cupidité des criminels à l'intention de nuire tout simplement, a fait remarquer un commentateur du sujet.

Source : Dragos

Et vous ?

Que pensez-vous de ce nouveau type d’attaque au ransomeware ?
Dragos considère Ekans comme une « attaque relativement primitive » et minimale. Qu’en pensez-vous ?
Quels impacts pensez-vous que Ekans pourrait avoir sur les systèmes ICS ciblés ?

Lire aussi

Symantec découvre la « version originelle » de Stuxnet, active entre 2007 et 2009, et publie l'étude complète du malware
Industroyer : un malware conçu pour prendre le contrôle des lignes électriques, est celui qui a récemment plongé Kiev dans le noir
Un ordinateur portable contenant six des virus les plus dangereux au monde est en vente pour plus d'un million de dollars, et les enchères continuent
Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs concernés au 1S19

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 05/02/2020 à 16:56
De la même manière qu'ils disposent de groupes électrogènes à cause du risque de panne du réseaux électriques, les hôpitaux, et tout autre système critique, devrait toujours être en réseaux fermé.
C'est comme quand on conçoit des avions, on passe en mode full-parano, on liste tout ce qui pourrait mal se passer, même le plus improbable et on réfléchit à une solution. Ça ne résout pas tout mais c'est toujours mieux que de se lancer tête baissée en attendant que les problèmes nous tombe dessus.
5  0 
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 06/02/2020 à 9:05
Citation Envoyé par TheLastShot Voir le message
De la même manière qu'ils disposent de groupes électrogènes à cause du risque de panne du réseaux électriques, les hôpitaux, et tout autre système critique, devrait toujours être en réseaux fermé.
C'est comme quand on conçoit des avions, on passe en mode full-parano, on liste tout ce qui pourrait mal se passer, même le plus improbable et on réfléchit à une solution. Ça ne résout pas tout mais c'est toujours mieux que de se lancer tête baissée en attendant que les problèmes nous tombe dessus.
Il faudrait double machine sur certains postes, alors, ne serait-ce que pour les cartes vitale, les accès dossiers sécu, les échanges de mails entre médecins et hopitaux, ...

On trouve ce genre d'installation sur certains sites sensibles, mais par contre ce n'est pas super pratique, ni à l'abri d'un utilisateur étourdi (il suffit d'une clé USB connectée sur la mauvaise machine...)
2  0 
Avatar de TheLastShot
Membre extrêmement actif https://www.developpez.com
Le 06/02/2020 à 18:07
Citation Envoyé par DevTroglodyte Voir le message
Il faudrait double machine sur certains postes, alors, ne serait-ce que pour les cartes vitale, les accès dossiers sécu, les échanges de mails entre médecins et hopitaux, ...

On trouve ce genre d'installation sur certains sites sensibles, mais par contre ce n'est pas super pratique, ni à l'abri d'un utilisateur étourdi (il suffit d'une clé USB connectée sur la mauvaise machine...)
"clé USB connectée sur la mauvaise machine" => On bloque les ports usb sur les posts sensible. Là si l'utilisateur rentre sa clé, c'est que c'est volontaire et c'est une faute professionnelle.
carte vitale => Les informations sont contenu directement dans la carte, le terminal de lecture n'a donc pas besoin d'être connecté au réseau

De plus on parle de mettre la vie des gens en danger, donc a priori d'équipement médical ou des serveurs de stockages de dossiers patients, pas de l'ordinateur des médecins. Donc pas besoin du double de machine. On pourrait très bien pour les équipements médicaux, avoir simplement un réseaux fermés avec quelques postes dans le bureau infirmiers qui y seraient connectés.
Pour les serveurs avec les dossiers patients, déjà j'ai envie de dire que la duplication c'est la base quand on parle de stockage. Surtout quand il s'agit de données sensibles.
2  0 
Avatar de DevTroglodyte
Membre extrêmement actif https://www.developpez.com
Le 07/02/2020 à 8:59
Citation Envoyé par TheLastShot Voir le message
"clé USB connectée sur la mauvaise machine" => On bloque les ports usb sur les posts sensible. Là si l'utilisateur rentre sa clé, c'est que c'est volontaire et c'est une faute professionnelle.
J'ai bossé sur un site sensible avec réseau interne isolé. Techniquement, les clés USB étaient interdites à moins de passer par un poste dédié (non branché au réseau) pour les scanner. Je te laisse imaginer la proportion de gens qui zappaient cette étape.

carte vitale => Les informations sont contenu directement dans la carte, le terminal de lecture n'a donc pas besoin d'être connecté au réseau
Je connais pas assez le fonctionnement du système, mais je me doute que c'est plus compliqué que ça...

De plus on parle de mettre la vie des gens en danger, donc a priori d'équipement médical ou des serveurs de stockages de dossiers patients, pas de l'ordinateur des médecins. Donc pas besoin du double de machine. On pourrait très bien pour les équipements médicaux, avoir simplement un réseaux fermés avec quelques postes dans le bureau infirmiers qui y seraient connectés.
Oui, c'est à peu près ce que j'ai écrit.

Pour les serveurs avec les dossiers patients, déjà j'ai envie de dire que la duplication c'est la base quand on parle de stockage. Surtout quand il s'agit de données sensibles.
Sauf qu'il faut prévoir des procédures pour communiquer facilement les dossier médicaux à d'autres hopitaux et médecins.

C'est pas un problème facile à résoudre, dans le monde actuel on a un énorme besoin de connexion, mais les protections ne suffisement pas toujours... et l'isolation totale d'un réseau amène ses propres problématiques.
1  0 
Avatar de rsuinux
Membre actif https://www.developpez.com
Le 08/02/2020 à 12:25
Sauf que pour les hôpitaux, parfois, ils tournent avec des applications (de prescription, de soins...) Ou s'il n'y a pas d'accès Internet, ben ça marche pas trop....

Perso, ce qui me perturbe le plus, c'est d'entendre dans mon propre chu, les personnes de l'informatique dire "non, on risque RIEN" d'un ton peremptoire.
Ça , ça me fout la trouille.
1  0