Les ransomwares se présentent de plus en plus comme le mal de la décennie en termes de menace informatique. Et les moyens de se prémunir semblent encore bien faibles au regard des dégâts causés comme on a pu se rendre compte lors du dernier FIC de Lille. Scannant depuis plusieurs années les cybermenaces visant en particulier les systèmes industriels, la société Dragos vient de publier la version complète de son rapport dans lequel il développe son analyse sur les ransomwares qui frappent actuellement les systèmes de contrôle industriel (ICS pour industrial control system). 

Découvert en décembre 2019 et analysé par les chercheurs en sécurité de MalwareHunter Team début janvier 2020, le ransowmare Snake (un alias d'Ekans) s'avère être lié à Megacortex, un ransomware qui fait parler de lui depuis deux ans et récemment pointé par l'ANSSI dans un dernier rapport. « Lors de sa découverte et de son enquête, Dragos a identifié une relation entre Ekans et un ransomware appelé Megacortex, qui contenait également certaines caractéristiques spécifiques aux ICS. L'identification du ciblage des processus industriels dans le ransomware décrit dans ce rapport est unique et représente les premières variantes connues de ransomware spécifiques aux ICS », explique Dragos.

Surveiller les outils de paramétrages d'états opérationnels

Dans son rapport, Dragos prévient que Snake/Ekans représente, en dépit de son caractère « primitif », une évolution dans les attaques ciblant les environnements de systèmes de contrôle. « Une activité de destruction de processus similaire a Ekans a été observée dans une variante plus récente (version 2) de Megacortex courant 2019, analysée et rapportée publiquement par Accenture », indique Dragos. Alors que le nombre de processus visés par Ekans est relativement limité (64), Megacortex v2 dépasse quant à lui les 1 000. « Ekans et sa variante parent supposé de Megacortex représentent un risque unique et spécifique pour les opérations industrielles non observé auparavant dans les attaques par ransomware. Alors que certaines organisations frappées doivent recourir d'urgence au mode manuel, les coûts et manques d'efficacité restent importants. »

N'employant pas de code signé, un moyen simple de limiter la propagation de ce ransomware serait tout simplement d'interdire l'exécution de binaires non signé pour contrecarrer l'exécution de ce malware. Une technique a cependant ses limites : « Malheureusement, beaucoup de fournisseurs de paquets logiciels continuent d'en distribuer sous une forme non signée, donc cette stratégie de résolution n'est pas pratique dans beaucoup de cas », prévient Dragos. Pour limiter le désastre d'une infection, mieux vaut donc agir vite et circonscrire la propagation à l'ensemble des réseaux et systèmes industriels dès que possible pour en limiter l'impact, comme surveiller leurs outils de paramétrages d'états opérationnels (tel que GE Proficy) pour identifier les cas où plusieurs endpoints cessent toute communication et reporting vers ce type d'outils approximativement au même moment. « Bien que les systèmes puissent encore être hors ligne ou compromis, l'identification de ce datapoint au début de l'enquête facilitera l'analyse des causes profondes de l'événement en identifiant les fonctionnalités spécifiques potentielles ICS, telles que celles affichées dans Ekans ».

Une origine iranienne non confirmée

Alors que des soupçons planent sur l'Iran concernant l'origine potentielle d'Ekans, Dragos prend plus de précaution et indique n'avoir analysé aucun lien ténu entre ce ransomware et les intérêts stratégiques iraniens. « Les arguments en faveur d'une implication iranienne incluent un chevauchement avec l'activité d'effacement de Dustman précédemment signalée mais il peu probable que des intrusions se soient chevauchées au même moment dans des environnements similaires, et des similitudes techniques entre Ekans et d'autres opérations connues liées à l'Iran. »