Nous suivre Industrie Techno

Comment se défendre contre Snake, le ransomware qui cible les processus industriels

Kevin Poireault
Soyez le premier à réagir

Soyez le premier à réagir

Comment se défendre contre Snake, le ransomware qui cible les processus industriels

Depuis janvier dernier, les chercheurs en cybersécurité planchent sur le ransomware Snake, qui cible en partie les processus industriels, pour analyser son code malveillant. Deux d’entre eux prodiguent à Industrie & Technologies leurs conseils pour éviter l’infection.

Si sa découverte a alerté la communauté des chercheurs en cybersécurité, le ransomware Snake (ou Snakehose, ou encore Ekans), taillé pour neutraliser des processus industriels, ne semble pas avoir fait de dégât connu à ce jour – son implication dans la cyberattaque contre la compagnie pétrolière de Bahreïn (Bapco), évoquée par l’éditeur Sentinel One, est remise en cause par un autre spécialiste de la sécurité, FireEye.

L’occasion pour les fournisseurs d’équipements et de logiciels industriels ciblés par Snake, comme General Electric, Honeywell ou encore Parametric Technology Corporation (PTC), d’agir pour éviter l’infection ? « Malheureusement pour les vendeurs, il n’y aucune parade à leur niveau », répond David Grout, chercheur français en sécurité chez FireEye.

Aux industriels eux-mêmes d'agir

La raison de cette impuissance : comme tous les ransomwares, Snake n’agit pas sur les protocoles industriels (Modbus, Profinet…) mais en ordonnant l’arrêt de services industriels (interfaces hommes-machines, logiciels de gestion de logs et de backup, passerelles IoT…) via Windows.

« Ce sont plutôt aux industriels eux-mêmes d’agir pour améliorer leur hygiène, rappelle David Grout. Ils doivent mettre en place la segmentation de leurs réseaux pour éviter une pandémie, veiller à ce que le maximum de systèmes soient à jour et les correctifs activés pour ouvrir le moins de fenêtres possibles à l’attaquant. Ensuite, ils doivent se munir d’outils de contrôle des réseaux et des logiciels pour observer en temps réel les comportements anormaux des machines et réagir vite. »

Et si vous êtes déjà infectés ?

S’il chiffre les fichiers avec des algorithmes assez classiques (AES-256 and RSA-2048), Snake ne renomme pas les fichiers chiffrés, comme c’est généralement le cas, mais ajoute un fichier nommé Fix-Your-Files.txt, dans lequel il propose une solution payante pour les déchiffrer. Néanmoins, les experts en cybersécurité recommandent de ne pas céder à cette proposition car la victime n’a aucune garantie de recevoir ledit outil. Supprimer Snake est théoriquement possible mais la procédure est fastidieuse : il faut démarrer le mode sans échec de Windows puis en restaurer le système, supprimer Snake grâce à un logiciel commercial (comme Spyhunter ou Malwarebytes anti-ransomware) puis essayer de récupérer les fichiers chiffrés avec un outil tel que Shadow Explorer.

Ecriture unique, lecture multiple pour éviter le chiffrement de ses données

Christophe Lambert, directeur technique grands comptes pour l'Europe, l'Afrique et le Moyen Orient du fournisseur de solutions pour la gestion de données Cohesity, préconise d’adopter l’approche « Write once read many » (Worm, ou « écriture unique, lecture multiple »), plutôt que de s’appuyer sur les droits d’utilisateurs.

L’approche Worm consiste à rendre les fichiers immuables une fois que l’on a écrit une donnée dessus. Avec une telle approche, un ransomware comme Snake sera certes toujours capable de neutraliser certains services mais pas de chiffrer les fichiers. « L’industriel pourra donc facilement revenir à une sauvegarde précédente du système afin de repartir rapidement en production », ajoute le spécialiste de la protection de données.

Partage d'information

Au-delà de ces mesures préventives individuelles, « difficiles à mettre en place lorsque l’on a des dizaines, voire des centaines de machines dans son parc », concède David Grout, le travail de préparation contre ce type de cybermenaces doit être collectif. A ce sujet, le chercheur en sécurité encourage le création de centres d’analyse et de partage de l’information (Information Sharing and Analysis Centers, Isac), sortes d’associations d’entreprises, souvent du même secteur, dédiées au partage du renseignement relatif aux cybermenaces, voire aux cyberattaques dont elles ont été victimes.

David Grout voit enfin d’un très bon œil la publication, en janvier dernier, d’ATT&CK for ICS, base de connaissance des cyberattaques visant les réseaux industriels de l’éditeur américaine Mitre, « un outil précieux pour que les industriels comprennent comment ils peuvent se prémunir contre de telles attaques ».

Le feu de circulation, un standard du renseignement cyber

Initialement créé dans les années 2000 par l’Agence de cybersécurité britannique (alors NISCC, aujourd’hui CPNI), le traffic light protocol (TLP, ou « protocole du feu de circulation ») est devenu le système standard pour partager des informations relatives aux cyberattaques, utilisé notamment par les agences états-unienne (Cisa), européenne (Enisa) et française (Anssi) et par les Centres de partage et d’analyse d’information (Isac). Selon ce protocole, la victime d’une cyberattaque attribue – ou, parfois, l’agence nationale de cybersécurité la force à attribuer – une couleur désignant le niveau de partage de l’information :

  • Rouge (« TLP:RED ») : uniquement pour les destinataires désignés par l’émetteur, au sein d’une réunion privée, par exemple.
  • Orange (« TLP:AMBER ») : au sein d’un service de l’entreprise, voire de l’entreprise.
  • Vert (« TLP:GREEN ») : au sein d’une partie de la communauté cyber.
  • Blanc (« TLP:WHITE ») : diffusion libre.

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

La Banque publique d’investissement (Bpifrance) a opté pour la solution cloud d’Amazon pour stocker les données relatives[…]

Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19

Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19

StopCovid : La France prépare une appli plus performante en cas de deuxième vague

StopCovid : La France prépare une appli plus performante en cas de deuxième vague

Pour  bien commencer la semaine, Vega toujours dans les starting-blocks pour son « co-voiturage » spatial

Pour bien commencer la semaine, Vega toujours dans les starting-blocks pour son « co-voiturage » spatial

Plus d'articles