Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    754
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 754
    Points : 21 253
    Points
    21 253
    Par défaut Le nouveau ransomware ne fait pas que chiffrer les données, il s'attaque aussi aux infrastructures critiques
    Le nouveau ransomware ne se contente pas de chiffrer les données,
    Il s'attaque également aux infrastructures critiques, selon un rapport

    Les attaques par les logiciels de rançon pour faire cesser le bon fonctionnement dans les hôpitaux, les usines et autres environnements critiques se sont multipliées au fil des années, occasionnant des dommages essentiellement dans les systèmes informatiques des réseaux infectés. Selon un nouveau rapport publié lundi, un nouveau type de ces logiciels malveillants, apparu en décembre, va au-delà de cette pratique et altère intentionnellement les systèmes de contrôle industriels sur lesquels les barrages, les réseaux électriques et les raffineries de gaz comptent pour assurer le fonctionnement des équipements en toute sécurité.

    Les chercheurs de l'entreprise de sécurité Dragos, qui ont découvert cette nouvelle attaque, ont appris l’existence de la souche du ransomware baptisée Ekans plus tôt en janvier. Il était déjà connu qu’Ekans contient les routines habituelles pour désactiver les sauvegardes de données et le chiffrement de masse des fichiers sur les systèmes infectés. Mais lors de leurs propres recherches, les chercheurs de Dragos ont trouvé autre chose qui pourrait être plus perturbant. Bien qu'il soit relativement simple en tant qu'échantillon de ransomware en termes de chiffrement de fichiers et d'affichage d'une note de rançon, Ekans propose des fonctionnalités supplémentaires pour arrêter de force un certain nombre de processus, y compris plusieurs éléments liés aux systèmes de contrôle industriels (ICS).

    Nom : ICS01.jpg
Affichages : 1474
Taille : 48,0 Ko

    Les chercheurs ont découvert l’existence d’un code qui recherche activement et arrête de force les applications ICS. Selon leur rapport, avant de procéder aux opérations de chiffrement des fichiers, Ekans arrête («tue») les processus répertoriés par nom de processus dans une liste codée en dur dans les chaînes codées du logiciel malveillant. Alors que certains des processus référencés semblent concerner des logiciels de sécurité ou de gestion, la majorité des processus répertoriés concernent des bases de données, des solutions de sauvegarde de données ou des processus liés à l'ICS.

    Procédures d’attaque au ransomeware Ekans spécifiques aux opérations ICS

    Selon le rapport, par le passé, les logiciels de rançon axés sur les systèmes informatiques pourraient avoir un impact sur les environnements de systèmes de contrôle, s'ils pouvaient migrer vers des parties des réseaux de ces systèmes, qui sont généralement séparés et mieux fortifiés. Ainsi, toute perturbation des opérations ICS causée par un ransomeware est le résultat d'une propagation trop agressive de logiciels malveillants entraînant des répercussions sur les systèmes de contrôle. Mais, d’après les chercheurs de Dragos, cette situation a changé avec Ekans.

    « Ekans (et apparemment certaines versions de MegaCortex) a modifié ce récit, car les fonctionnalités spécifiques aux ICS sont directement référencées dans le logiciel malveillant. Bien que certains de ces processus puissent résider dans des réseaux informatiques d'entreprise typiques, tels que les serveurs Proficy ou les serveurs Microsoft SQL, l'inclusion de logiciels IHM, de historian clients et d'éléments supplémentaires indique une connaissance minimale, quoique grossière, des processus et des fonctionnalités de l'environnement du système de contrôle ».

    Au total, Ekans arrête 64 processus, y compris ceux générés par Proficy data historian de General Electric, avec des processus clients et serveurs inclus. Sont également référencés dans Ekans, d'autres fonctionnalités spécifiques à l'ICS, notamment les services de serveur de licence GE Fanuc et l'application HMIWeb de Honeywell. Les autres éléments liés au ICS sont la surveillance à distance ou les instances de serveur de licences telles que les gestionnaires de licences FLEXNet et Sentinel HASP.

    Selon le rapport, les fichiers sont renommés après le chiffrement en ajoutant cinq caractères aléatoires en lettres majuscules et minuscules à l'extension du fichier d'origine, comme le montre l’image ci-dessous, par exemple, où les fichiers PYD sont chiffrés.

    Nom : ICS02.png
Affichages : 1546
Taille : 126,6 Ko

    Ekans considéré comme une attaque minimale et « relativement primitive »

    Le malware Ekans arrête simplement divers processus créés par des programmes ICS couramment utilisés, selon le rapport. Pour cette raison, les chercheurs ont décrit le ciblage des opérations ICS par Ekans comme étant minimal et grossier. Pour eux, c’est un élément clé de différenciation par rapport aux logiciels malveillants découverts ces dernières années ciblant l'ICS et capables de causer des dommages beaucoup plus graves.

    Un exemple est Industroyer, le malware sophistiqué qui a causé une panne de courant en Ukraine en décembre 2016 dans une tentative délibérée et bien exécutée de laisser les ménages sans électricité pendant l'un des mois les plus froids du pays. Un autre exemple est celui de Trisis (alias Triton), qui a délibérément altéré des systèmes conçus pour prévenir des accidents mettant en danger la santé et la vie des personnes à l'intérieur d'une infrastructure critique au Moyen-Orient. D'autres exemples sont le ver Stuxnet qui a ciblé le programme nucléaire iranien il y a dix ans et le logiciel malveillant BlackEnergy utilisé pour créer un black-out régional en Ukraine en décembre 2015.

    En effet, les logiciels Industroyer, Trisis et les autres exemples contenaient des codes qui, de manière chirurgicale et minutieuse, ont altéré, cartographié ou démantelé certaines fonctions hautement sensibles à l'intérieur des sites d'infrastructures critiques qu'ils visaient. Ekans et une récente version de MegaCortex, en revanche, arrêtent simplement les processus engendrés par les logiciels d’ICS. Le niveau réel d'impact qu'Ekans ou MegaCortex sensible à l'ICS peut avoir sur les environnements industriels n'est pas bien connu.

    Une autre raison pour laquelle les chercheurs de Dragos considèrent Ekans comme une « attaque relativement primitive » est que le logiciel de rançon n'a pas de mécanisme pour se propager. Cela fait d'Ekans une menace beaucoup moins importante que les logiciels de rançon tels que Ryuk, qui recueille discrètement pendant des mois des informations d'identification sur le système ciblé afin de pouvoir éventuellement proliférer largement à travers presque toutes les parties du système.

    Le rapport de Dragos a aussi remis en question les récentes informations selon lesquelles Ekans aurait été créé par l'Iran. Ces informations qui étaient basées sur les résultats des recherches de la société de sécurité Otorio, ont cité des similitudes avec des logiciels malveillants et des opérations iraniennes connues auparavant, en mettant l’accent sur les liens prétendument prouvés avec «les intérêts stratégiques iraniens». Cependant, d’après les recherches de Dragos, « Bien que tout lien avec des "intérêts stratégiques" soit possible étant donné la taille et la portée de la stratégie à long terme de la plupart des États, l'analyse de Dragos conclut que tout lien de ce type est incroyablement ténu sur la base des preuves disponibles ».

    Toutefois, malgré le manque de sophistication et l'absence de liens établis avec les États-nations, Ekans mérite une attention particulière de la part des organisations qui mènent des opérations ICS, a recommandé Dragos.

    « Alors que toutes les indications actuelles montrent un mécanisme d'attaque relativement primitif sur les réseaux de systèmes de contrôle, la spécificité des processus énumérés dans une "liste d'exclusion" statique montre un niveau d'intentionnalité auparavant absent des logiciels de rançon ciblant l'espace industriel », ont écrit les chercheurs de Dragos. « Les propriétaires et les opérateurs de systèmes ICS sont donc fortement encouragés à examiner leur surface d'attaque et à déterminer les mécanismes permettant de livrer et de distribuer des logiciels malveillants perturbateurs, tels que les ransomewares ayant des caractéristiques spécifiques à ICS ».

    Il est vrai qu’on ne sait pas encore exactement quel effet l'arrêt de ces processus aurait sur la sécurité des opérations à l'intérieur des installations infectées, mais le rapport montre que nous passons de la cupidité des criminels à l'intention de nuire tout simplement, a fait remarquer un commentateur du sujet.

    Source : Dragos

    Et vous ?

    Que pensez-vous de ce nouveau type d’attaque au ransomeware ?
    Dragos considère Ekans comme une « attaque relativement primitive » et minimale. Qu’en pensez-vous ?
    Quels impacts pensez-vous que Ekans pourrait avoir sur les systèmes ICS ciblés ?

    Lire aussi

    Symantec découvre la « version originelle » de Stuxnet, active entre 2007 et 2009, et publie l'étude complète du malware
    Industroyer : un malware conçu pour prendre le contrôle des lignes électriques, est celui qui a récemment plongé Kiev dans le noir
    Un ordinateur portable contenant six des virus les plus dangereux au monde est en vente pour plus d'un million de dollars, et les enchères continuent
    Les attaques de malware visant des MdP sont à la hausse selon les statistiques de Kaspersky, près d'un million d'utilisateurs concernés au 1S19
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Femme Profil pro
    None
    Inscrit en
    août 2012
    Messages
    348
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : None

    Informations forums :
    Inscription : août 2012
    Messages : 348
    Points : 745
    Points
    745
    Par défaut
    De la même manière qu'ils disposent de groupes électrogènes à cause du risque de panne du réseaux électriques, les hôpitaux, et tout autre système critique, devrait toujours être en réseaux fermé.
    C'est comme quand on conçoit des avions, on passe en mode full-parano, on liste tout ce qui pourrait mal se passer, même le plus improbable et on réfléchit à une solution. Ça ne résout pas tout mais c'est toujours mieux que de se lancer tête baissée en attendant que les problèmes nous tombe dessus.

  3. #3
    Membre extrêmement actif
    Homme Profil pro
    Développeur Java
    Inscrit en
    septembre 2011
    Messages
    522
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : septembre 2011
    Messages : 522
    Points : 1 928
    Points
    1 928
    Par défaut
    Citation Envoyé par TheLastShot Voir le message
    De la même manière qu'ils disposent de groupes électrogènes à cause du risque de panne du réseaux électriques, les hôpitaux, et tout autre système critique, devrait toujours être en réseaux fermé.
    C'est comme quand on conçoit des avions, on passe en mode full-parano, on liste tout ce qui pourrait mal se passer, même le plus improbable et on réfléchit à une solution. Ça ne résout pas tout mais c'est toujours mieux que de se lancer tête baissée en attendant que les problèmes nous tombe dessus.
    Il faudrait double machine sur certains postes, alors, ne serait-ce que pour les cartes vitale, les accès dossiers sécu, les échanges de mails entre médecins et hopitaux, ...

    On trouve ce genre d'installation sur certains sites sensibles, mais par contre ce n'est pas super pratique, ni à l'abri d'un utilisateur étourdi (il suffit d'une clé USB connectée sur la mauvaise machine...)

  4. #4
    Membre extrêmement actif
    Femme Profil pro
    None
    Inscrit en
    août 2012
    Messages
    348
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Localisation : France

    Informations professionnelles :
    Activité : None

    Informations forums :
    Inscription : août 2012
    Messages : 348
    Points : 745
    Points
    745
    Par défaut
    Citation Envoyé par DevTroglodyte Voir le message
    Il faudrait double machine sur certains postes, alors, ne serait-ce que pour les cartes vitale, les accès dossiers sécu, les échanges de mails entre médecins et hopitaux, ...

    On trouve ce genre d'installation sur certains sites sensibles, mais par contre ce n'est pas super pratique, ni à l'abri d'un utilisateur étourdi (il suffit d'une clé USB connectée sur la mauvaise machine...)
    "clé USB connectée sur la mauvaise machine" => On bloque les ports usb sur les posts sensible. Là si l'utilisateur rentre sa clé, c'est que c'est volontaire et c'est une faute professionnelle.
    carte vitale => Les informations sont contenu directement dans la carte, le terminal de lecture n'a donc pas besoin d'être connecté au réseau

    De plus on parle de mettre la vie des gens en danger, donc a priori d'équipement médical ou des serveurs de stockages de dossiers patients, pas de l'ordinateur des médecins. Donc pas besoin du double de machine. On pourrait très bien pour les équipements médicaux, avoir simplement un réseaux fermés avec quelques postes dans le bureau infirmiers qui y seraient connectés.
    Pour les serveurs avec les dossiers patients, déjà j'ai envie de dire que la duplication c'est la base quand on parle de stockage. Surtout quand il s'agit de données sensibles.

  5. #5
    Membre extrêmement actif
    Homme Profil pro
    Développeur Java
    Inscrit en
    septembre 2011
    Messages
    522
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : septembre 2011
    Messages : 522
    Points : 1 928
    Points
    1 928
    Par défaut
    Citation Envoyé par TheLastShot Voir le message
    "clé USB connectée sur la mauvaise machine" => On bloque les ports usb sur les posts sensible. Là si l'utilisateur rentre sa clé, c'est que c'est volontaire et c'est une faute professionnelle.
    J'ai bossé sur un site sensible avec réseau interne isolé. Techniquement, les clés USB étaient interdites à moins de passer par un poste dédié (non branché au réseau) pour les scanner. Je te laisse imaginer la proportion de gens qui zappaient cette étape.

    carte vitale => Les informations sont contenu directement dans la carte, le terminal de lecture n'a donc pas besoin d'être connecté au réseau
    Je connais pas assez le fonctionnement du système, mais je me doute que c'est plus compliqué que ça...

    De plus on parle de mettre la vie des gens en danger, donc a priori d'équipement médical ou des serveurs de stockages de dossiers patients, pas de l'ordinateur des médecins. Donc pas besoin du double de machine. On pourrait très bien pour les équipements médicaux, avoir simplement un réseaux fermés avec quelques postes dans le bureau infirmiers qui y seraient connectés.
    Oui, c'est à peu près ce que j'ai écrit.

    Pour les serveurs avec les dossiers patients, déjà j'ai envie de dire que la duplication c'est la base quand on parle de stockage. Surtout quand il s'agit de données sensibles.
    Sauf qu'il faut prévoir des procédures pour communiquer facilement les dossier médicaux à d'autres hopitaux et médecins.

    C'est pas un problème facile à résoudre, dans le monde actuel on a un énorme besoin de connexion, mais les protections ne suffisement pas toujours... et l'isolation totale d'un réseau amène ses propres problématiques.

  6. #6
    Membre régulier Avatar de rsuinux
    Homme Profil pro
    Infirmier Formateur pour logiciel de Dossiers de Soins Informatisés
    Inscrit en
    août 2007
    Messages
    94
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Vienne (Limousin)

    Informations professionnelles :
    Activité : Infirmier Formateur pour logiciel de Dossiers de Soins Informatisés
    Secteur : Santé

    Informations forums :
    Inscription : août 2007
    Messages : 94
    Points : 104
    Points
    104
    Par défaut
    Sauf que pour les hôpitaux, parfois, ils tournent avec des applications (de prescription, de soins...) Ou s'il n'y a pas d'accès Internet, ben ça marche pas trop....

    Perso, ce qui me perturbe le plus, c'est d'entendre dans mon propre chu, les personnes de l'informatique dire "non, on risque RIEN" d'un ton peremptoire.
    Ça , ça me fout la trouille.
    Si tu ne sais pas: demande, si tu sais, partage.

Discussions similaires

  1. Réponses: 0
    Dernier message: 20/06/2014, 09h12
  2. Réponses: 2
    Dernier message: 27/04/2009, 14h09

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo