Comme l'ont signalé Dragos et Sentinel One, un nouveau type de logiciel qui crypte les données sur les ordinateurs infectés – aussi appelé « ransomware » (ou logiciel de rançonnage) – a fait son apparition.
Qu'est-ce que le rançongiciel EKANS?
EKANS a été détecté pour la première fois à la mi-décembre 2019. D'une part, les spécialistes de la sécurité informatique affirment que ce logiciel est relativement simple : il crypte les données et affiche une demande de rançon typique en échange du décryptage des données. D'autre part, EKANS a cependant la possibilité de mettre fin de manière indépendante à certains processus en cours d'exécution, c'est-à-dire à des applications, sur des ordinateurs infectés. Il se caractérise par le fait que la liste des processus « tués » comprend ceux liés aux systèmes de contrôle industriels (ICS), tels que GE Proficy, ThingWorx et Honeywell HMI, ainsi que ceux liés aux systèmes IoT. La sélection de ces processus indique que les ICS seraient la cible privilégiée d’EKANS.
Bien qu'EKANS puisse paraître simple par rapport à d'autres logiciels malveillants développés dans le but de saboter les systèmes industriels (il suffit de se souvenir des célèbres Stuxnet ou BlackEnergy), le fait de crypter des ordinateurs tels que ceux utilisés pour surveiller les lignes de production ou de transmission et de les déconnecter ainsi du processus industriel peut avoir des conséquences potentiellement très dangereuses.
Selon les experts de Dragos, EKANS présente une similitude avec le précédent logiciel de rançonnage Megacortex, qui a également stoppé des centaines de processus sur des ordinateurs infectés au printemps 2019. On estime que les attaques réussies de Megacortex ont conduit à des demandes de rançon allant jusqu'à 5,8 millions USD.
À l’heure actuelle, on ne sait pas précisément qui est à l'origine du développement d’EKANS. Parmi les victimes figurent des entreprises du secteur des carburants.
Le mécanisme de propagation du nouveau logiciel de rançonnage est également inconnu. Les spécialistes de la sécurité informatique n'ont pas trouvé de mécanisme de propagation automatique intégré. Le logiciel malveillant fonctionne soit en mode interactif, soit par le biais de scripts.
Il est conseillé aux propriétaires et opérateurs de systèmes ICS de vérifier que leur infrastructure ne présente pas de signes d'infection par des logiciels de rançonnage.
En outre, à titre de prévention, des mécanismes peuvent être intégrés afin d’empêcher de nouveaux programmes inconnus de fonctionner sur les ordinateurs servant à l’exécution des systèmes de contrôle industriels. Au niveau du réseau, le transfert de programmes peut être surveillé à l'interface du réseau d'entreprise et du réseau industriel pour empêcher la propagation de logiciels malveillants.
Comme vous pouvez le voir, les cybercriminels ciblent de plus en plus les sites industriels. Mais il y a pire : À l'ère de l'« Industrie 4.0 » et de la multiplication des systèmes ICS connectés à un réseau Internet, ces systèmes autrefois complètement isolés peuvent aujourd'hui devenir des cibles très faciles sans sécurité adéquate. De plus, avec l'évolution constante de la technologie, les anciens automates programmables (PLC) se sont transformés en automates programmables modernes (PAC), fonctionnant avec leurs propres systèmes d'exploitation qui, comme tout logiciel, ont leurs propres vulnérabilités et bogues. Il n’est pas difficile d’imaginer qu'à un moment donné, une cyberattaque peut être dirigée contre les contrôleurs et non contre les ordinateurs industriels. Ce constat amène à penser que, comme pour la protection des ordinateurs contre les logiciels malveillants, il est temps d'investir dans la protection des dispositifs de contrôle (PAC/PLC) et la surveillance des réseaux industriels.