Les attaques par les logiciels de rançon pour faire cesser le bon fonctionnement dans les hôpitaux, les usines et autres environnements critiques se sont multipliées au fil des années, occasionnant des dommages essentiellement dans les systèmes informatiques des réseaux infectés. Selon un nouveau rapport publié lundi, un nouveau type de ces logiciels malveillants, apparu en décembre, va au-delà de cette pratique et altère intentionnellement les systèmes de contrôle industriels sur lesquels les barrages, les réseaux électriques et les raffineries de gaz comptent pour assurer le fonctionnement des équipements en toute sécurité. Les chercheurs de l'entreprise de sécurité Dragos, qui ont découvert cette nouvelle attaque, ont appris l’existence de la souche du ransomware baptisée Ekans plus tôt en janvier. Il était déjà connu qu’Ekans contient les routines habituelles pour désactiver les sauvegardes de données et le chiffrement de masse des fichiers sur les systèmes infectés. Mais lors de leurs propres recherches, les chercheurs de Dragos ont trouvé autre chose qui pourrait être plus perturbant. Bien qu'il soit relativement simple en tant qu'échantillon de ransomware en termes de chiffrement de fichiers et d'affichage d'une note de rançon, Ekans propose des fonctionnalités supplémentaires pour arrêter de force un certain nombre de processus, y compris plusieurs éléments liés aux systèmes de contrôle industriels (ICS).
Les chercheurs ont découvert l’existence d’un code qui recherche activement et arrête de force les applications ICS. Selon leur rapport, avant de procéder aux opérations de chiffrement des fichiers, Ekans arrête («tue») les processus répertoriés par nom de processus dans une liste codée en dur dans les chaînes codées du logiciel malveillant. Alors que certains des processus référencés semblent concerner des logiciels de sécurité ou de gestion, la majorité des processus répertoriés concernent des bases de données, des solutions de sauvegarde de données ou des processus liés à l'ICS.
Procédures d’attaque au ransomeware Ekans spécifiques aux opérations ICS
Selon le rapport, par le passé, les logiciels de rançon axés sur les systèmes informatiques pourraient avoir un impact sur les environnements de systèmes de contrôle, s'ils pouvaient migrer vers des parties des réseaux de ces systèmes, qui sont généralement séparés et mieux fortifiés. Ainsi, toute perturbation des opérations ICS causée par un ransomeware est le résultat d'une propagation trop agressive de logiciels malveillants entraînant des répercussions sur les systèmes de contrôle. Mais, d’après les chercheurs de Dragos, cette situation a changé avec Ekans.
« Ekans (et apparemment certaines versions de MegaCortex) a modifié ce récit, car les fonctionnalités spécifiques aux ICS sont directement référencées dans le logiciel malveillant. Bien que certains de ces processus puissent résider dans des réseaux informatiques d'entreprise typiques, tels que les serveurs Proficy ou les serveurs Microsoft SQL, l'inclusion de logiciels IHM, de historian clients et d'éléments supplémentaires indique une connaissance minimale, quoique grossière, des processus et des fonctionnalités de l'environnement du système de contrôle ».
Au total, Ekans arrête 64 processus, y compris ceux générés par Proficy data historian de General Electric, avec des processus clients et serveurs inclus. Sont également référencés dans Ekans, d'autres fonctionnalités spécifiques à l'ICS, notamment les services de serveur de licence GE Fanuc et l'application HMIWeb de Honeywell. Les autres éléments liés au ICS sont la surveillance à distance ou les instances de serveur de licences telles que les gestionnaires de licences FLEXNet et Sentinel HASP.
Selon le rapport, les fichiers sont renommés après le chiffrement en ajoutant cinq caractères aléatoires en lettres majuscules et minuscules à l'extension du fichier d'origine, comme le montre l’image ci-dessous, par exemple, où les fichiers PYD sont chiffrés.
Ekans considéré comme une attaque minimale et « relativement primitive »
Le malware Ekans arrête simplement divers processus créés par des programmes ICS couramment utilisés, selon le rapport. Pour cette raison, les chercheurs ont décrit le ciblage des opérations ICS par Ekans comme étant minimal et grossier. Pour eux, c’est un élément clé de différenciation par rapport aux logiciels malveillants découverts ces dernières années ciblant l'ICS et capables de causer des dommages beaucoup plus graves.
Un exemple est Industroyer, le malware sophistiqué qui a causé une panne de courant en Ukraine en décembre 2016 dans une tentative délibérée et bien exécutée de laisser les ménages sans électricité pendant l'un des mois les plus froids du pays. Un autre exemple est celui de Trisis (alias Triton), qui a délibérément altéré des systèmes conçus pour prévenir des accidents mettant en danger la santé et la vie des personnes à l'intérieur d'une infrastructure critique au Moyen-Orient. D'autres exemples sont le ver Stuxnet qui a ciblé le programme nucléaire iranien il y a dix ans et le logiciel malveillant BlackEnergy utilisé pour créer un black-out régional en Ukraine en décembre 2015.
En effet, les logiciels Industroyer, Trisis et les autres exemples contenaient des codes qui, de manière chirurgicale et minutieuse, ont altéré, cartographié ou démantelé certaines fonctions hautement sensibles à l'intérieur des sites d'infrastructures critiques qu'ils visaient. Ekans et une récente version de MegaCortex, en revanche, arrêtent simplement les processus engendrés par les logiciels d’ICS. Le niveau réel d'impact qu'Ekans ou MegaCortex sensible à l'ICS peut avoir sur les environnements industriels n'est pas bien connu.
Une autre raison pour laquelle les chercheurs de Dragos considèrent Ekans comme une « attaque relativement primitive » est que le logiciel de rançon n'a pas de mécanisme pour se propager. Cela fait d'Ekans une menace beaucoup moins importante que les logiciels de rançon tels que Ryuk, qui recueille discrètement pendant des mois des informations d'identification sur le système ciblé afin de pouvoir éventuellement proliférer largement à travers presque toutes les parties du système.
Le rapport de Dragos a aussi remis en question les récentes informations selon lesquelles Ekans aurait été créé par l'Iran. Ces informations qui étaient basées sur les résultats des recherches de la société de sécurité Otorio, ont cité des similitudes avec des logiciels malveillants et des opérations iraniennes connues auparavant, en mettant l’accent sur les liens prétendument prouvés avec «les intérêts stratégiques iraniens». Cependant, d’après les recherches de Dragos, « Bien que tout lien avec des "intérêts stratégiques" soit possible étant donné la taille et la portée de la stratégie à long terme de la plupart des États, l'analyse de Dragos conclut que tout lien de ce type est incroyablement ténu sur la base des preuves disponibles ».
Toutefois, malgré le manque de sophistication et l'absence de liens établis avec les États-nations, Ekans mérite une attention particulière de la part des organisations qui mènent des opérations ICS, a recommandé Dragos.
« Alors que toutes les indications actuelles montrent un mécanisme d'attaque relativement primitif sur les réseaux de systèmes de contrôle, la spécificité des processus énumérés dans une "liste d'exclusion" statique montre un niveau d'intentionnalité auparavant absent des logiciels de rançon ciblant l'espace industriel », ont écrit les chercheurs de Dragos. « Les propriétaires et les opérateurs de systèmes ICS sont donc fortement encouragés à examiner leur surface d'attaque et à déterminer les mécanismes permettant de livrer et de distribuer des logiciels malveillants perturbateurs, tels que les ransomewares ayant des caractéristiques spécifiques à ICS ».
Il est vrai qu’on ne sait pas encore exactement quel effet l'arrêt de ces processus aurait sur la sécurité des opérations à l'intérieur des installations infectées, mais le rapport montre que nous passons de la cupidité des criminels à l'intention de nuire tout simplement, a fait remarquer un commentateur du sujet.
Source : Dragos
Et vous ?
Que pensez-vous de ce nouveau type d’attaque au ransomeware ? Dragos considère Ekans comme une « attaque relativement primitive » et minimale. Qu’en pensez-vous ? Quels impacts pensez-vous que Ekans pourrait avoir sur les systèmes ICS ciblés ? Lire aussi
Symantec découvre la « version originelle » de Stuxnet, active entre 2007 et 2009, et publie l'étude complète du malware Industroyer : un malware conçu pour prendre le contrôle des lignes électriques, est celui qui a récemment plongé Kiev dans le noir Un ordinateur portable contenant six des virus les plus dangereux au monde est en vente pour plus d'un million de dollars, et les enchères continuent Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs concernés au 1S19 
Envoyé par TheLastShot
