Paralyser les systèmes informatiques les plus importants des grandes industries: tel est l’objectif d’Ekans, une rançon. Très sophistiqué, ce serait l’œuvre de pirates indépendants, pas d’un État.
Les cyberattaques contre les systèmes industriels sont assez rares et sont attribuées à presque tous les États, compte tenu de leur niveau sophistiqué. C’est notamment ce qui s’est passé en Ukraine avec la division de la distribution électrique lors du piratage de la centrale d’Ivano Frankivsk fin 2015 ou même avec la destruction de centrifugeuses d’enrichissement nucléaire en Iran en 2010.
Cette fois, les chercheurs des sociétés de cybersécurité Sentinel One et Dragos ont découvert le ciblage de code pour les installations industrielles. Il peut être attribué à des pirates indépendants selon eux. Le code appelé Ekans, ou Snake, est spécifiquement destiné aux raffineries, aux réseaux de distribution d’électricité et aux lignes de production des usines. Au lieu d’essayer de détruire ou de prendre le contrôle des installations, c’est la technique simple du ransomware. Tout d’abord, le code arrête 64 processus liés aux logiciels spécifiques aux commandes industrielles. C’est à partir de ceux-ci que les pirates peuvent accéder et chiffrer les données qui interagissent avec des systèmes importants. Les auteurs demandent le paiement d’une rançon pour les libérer.
Ne payez pas pour perdre gros
Comme toujours, l’attribution de l’attaque est compliquée et, au cours de ses enquêtes, Dragos a retiré une attribution potentielle à une équipe d’État iranienne. Le mode de fonctionnement semble beaucoup plus proche de celui utilisé par les criminels venant dans les hôpitaux de rançon. Ils savent que ces institutions feront tout leur possible pour payer une rançon afin d’assurer la continuité de leur mission. Et pour les industriels, c’est une véritable bénédiction car la plus petite paralysie peut coûter très cher.
Ce n’est pas la première fois qu’un ransomware conçu par des pirates indépendants attaque les processus des systèmes de contrôle industriels. Selon Dragos, une autre souche de code connue sous le nom de Megacortex a été identifiée au printemps 2019. Elle comprenait les mêmes fonctionnalités et pourrait bien avoir été développée par la même équipe.