Nous suivre Industrie Techno

abonné

Snake, le ransomware qui attaque l'usine

Kevin Poireault

Mis à jour le 03/04/2020 à 09h30

Soyez le premier à réagir

Soyez le premier à réagir

Snake, le ransomware qui attaque l'usine

Des chercheurs en sécurité ont découvert un rançongiciel capable de neutraliser un grand nombre de logiciels spécifiques aux systèmes d’information industriels. Du jamais vu dans la sphère cyber.

Lannée 2020 sera-t-elle celle des ransomwares industriels ? Jusqu’à présent, les logiciels malveillants rançonneurs, qui chiffrent les données de leur victime et demandent une rançon pour les déchiffrer, s’attaquaient essentiellement à la couche IT (information technologies, le système d’information d’entreprise). Leur nombre avait plus que doublé en 2019 par rapport à 2018, conduisant la communauté cyber à parler d’« année des ransomwares ».

Mais de nouveaux ransomwares apparaissent, qui descendent désormais dans l’atelier en s’attaquant à l’OT (operational technologies, le réseau industriel). Snake est l’un d’eux, particulièrement inquiétant. Rendu public le 7 janvier sur Twitter par Vitali Kremez, membre du groupe de chercheurs en sécurité Malware Hunter Team et employé de l’éditeur américain de logiciels de cyberprotection SentinelOne, Snake est capable d’affecter directement des opérations critiques des sites industriels. Une première.

Une centaine de services potentiellement neutralisés

Selon les données analysées par FireEye, expert en cybersécurité, il pourrait neutraliser plus d’une centaine de services, dont environ 10 % ne sont utilisés que dans les réseaux industriels. Attention, précise David Grout, chercheur français chez FireEye, ce ne sont pas les protocoles qui sont visés, mais bien les logiciels exécutables.

« Snakehose [le nom donné par FireEye à ce logiciel malveillant, ndlr] n’est pas spécialisé dans des protocoles purement industriels, comme Modbus ou DNP3, mais neutralise des process ou des services d’équipements industriels, comme les interfaces hommes-machines ou les logiciels de gestion de logs et de sauvegarde (historians) », précise-t-il.

Fanuc, Proficy, GE, HMIWeb de Honeywell...

D’après la firme Dragos, autre spécialiste de la cybersécurité, les services ciblés par Ekans – le nom qu’elle lui a attribué – compteraient notamment l’historian Proficy et différents logiciels d’automatisation vendus sous la marque Fanuc de General Electric, l’interface homme-machine HMIWeb de Honeywell ou encore la plate-forme d’IoT industriel ThingWorx. Une fois infiltré dans le réseau IT, Snake se diffuse jusqu’à un poste Windows de l’OT.

Après avoir vérifié que le terminal n’était pas déjà infecté, il corrompt la Windows management instrumentation (WMI), le système de gestion de l’OS de Microsoft, puis neutralise Shadow Volume Copies, une application incluse dans Windows pour effectuer des sauvegardes automatiques des fichiers, même lorsqu’ils sont en cours d’utilisation. C’est à ce moment-là que Snake peut arrêter de force les services et logiciels industriels ciblés. « Un peu comme lorsque vous appuyez sur Ctrl-Alt-Suppr sur votre clavier pour fermer les applications en cours », illustre David Grout. Parallèlement, Snake commence la procédure de chiffrement[…]

Pour lire la totalité de cet article, ABONNEZ-VOUS

Déjà abonné ?

Mot de passe perdu

Pas encore abonné ?

vous lisez un article d'Industries & Technologies N°1030

Découvrir les articles de ce numéro Consultez les archives 2020 d'Industries & Technologies

Bienvenue !

Vous êtes désormais inscrits. Vous recevrez prochainement notre newsletter hebdomadaire Industrie & Technologies

Nous vous recommandons

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

« Que Bpifrance choisisse AWS quand le président de la République réclame la souveraineté numérique, ce n'est pas acceptable ! », assène Frans Imbert Vier (Ubcom)

La Banque publique d’investissement (Bpifrance) a opté pour la solution cloud d’Amazon pour stocker les données relatives[…]

Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19

Cybersécurité : les exfiltrations de données de santé ont doublé avec le Covid-19

StopCovid : La France prépare une appli plus performante en cas de deuxième vague

StopCovid : La France prépare une appli plus performante en cas de deuxième vague

Pour  bien commencer la semaine, Vega toujours dans les starting-blocks pour son « co-voiturage » spatial

Pour bien commencer la semaine, Vega toujours dans les starting-blocks pour son « co-voiturage » spatial

Plus d'articles