Jusqu’à présent, les rançongiciels visaient en priorité les postes de travail et les serveurs de fichiers, chiffrant les données et réclamant une rançon pour obtenir la clé de déverrouillage. Mais un nouveau rançongiciel laisse penser que les cybercriminels ont des velléités d’étendre leur champ d’action…

« Avec Snake, on entre dans une nouvelle ère du rançongiciel » affirme Christophe Lambert, Directeur Systems Engineering Strategic Business EMEA chez Cohesity et spécialiste de la protection des données.

Découvert il y a un mois par Dragos, le malware Snake aussi appelé Ekans ou encore SnakeHose, présente de nombreuses similitudes avec le rançongiciel MegaCortex qui a beaucoup œuvré sous Windows en 2019 et a beaucoup évolué tout au long de l’année. Pour Dragos « Snake/Ekans représente une évolution relativement nouvelle et inquiétante dans les malwares ciblant les systèmes de contrôle industriel. Jusqu’ici, les malwares ciblant les systèmes ICS et SCADA, semblaient essentiellement l’œuvre d’entités sponsorisées par des États. Mais Snake/Ekans ne semble pas affilié à ces précédents et semble provenir de groupuscules uniquement motivés par des gains financiers. ».

Dragos réfute d’ailleurs les déclarations de la société Israélienne Otorio qui estime que Snake a été créé par l’Iran. Les chercheurs d’Otorio pensent que l’attaque vise la compagnie nationale de pétrole de Barheïn, BAPCO (Bahrain Petroleum Co.), en partie parce qu’elle est mentionnée dans la demande de rançon que Snake laisse sur un système infecté. Pour Dragos, rien ne permet de relier ce malware à l’Iran et il serait plutôt une expérimentation de cybercriminels visant à créer un nouveau ransomware à partir de la base de MegaCortex.

Pour l’instant, les buts poursuivis par les auteurs de Snake restent d’ailleurs relativement flous. « Sur la base de notre analyse, nous pensons que SNAKEHOSE détruit des processus spécifiques liés aux systèmes opérationnels et de contrôle industriel pour garantir que le ransomware aura un impact sur les données et les fichiers utilisés par les logiciels mentionnés explique Nathan Brubaker, Senior Manager Analysis chez FireEye. Ceci pourrait indiquer une intention d’élargir la portée de l’impact … mais, pour l’instant, aucune preuve solide n’indique qu’il a été conçu pour cibler spécifiquement les environnements opérationnels ».

Parmi la liste des 1000 processus que vise à éteindre le ransomware (la plupart sont des processus d’antivirus et de Windows) se trouvent effectivement des exécutables liés aux solutions ICS et aux systèmes SCADA. Mais cette liste de cibles « industrielles » (qui comprend notamment des services de communication GE Fanuc, Honeywell, Flexnet, ThingWorkx) semble simplement héritée des dernières variantes de Megacortex d’où le doute émis par FireEye sur les cibles réelles visées par les auteurs de Snake.

Pour autant, selon Christophe Lambert, le risque de voir ce rançongiciel opérer sur les systèmes industriels ne doit pas être minimisé. « Snake et MegaCortex sont tous deux conçus pour stopper des processus système propres aux équipements SCADA et sont ainsi susceptibles de mettre un coup d’arrêt sévère à des infrastructures de première nécessité. Dans la liste des processus stoppés par le malware, on trouve par exemple des logiciels d’interface homme-machine et des solutions de contrôle. On peut s’attendre à ce que cette liste s’enrichisse de nouveaux processus issus d’autres solutions utilisées par les systèmes des Opérateurs d’Importance Vitale dans les prochains mois ».

Bref, Snake focalise l’attention de nombreux chercheurs en sécurité et domine l’actualité du monde de la cybersécurité. Mais pour l’instant ses cibles et ses objectifs restent très flous. D’autant qu’il n’est pas techniquement très évolué et ne possède en l’état aucun mécanisme de réplication au sein des réseaux. Mais son existence vient donner un peu plus de poids aux prédictions des spécialistes qui s’attendent à voir dans les prochains mois se multiplier les rançongiciels visant spécifiquement à prendre en otage des systèmes industriels avec comme préoccupation première le gain financier d’une rançon plutôt qu’une volonté politique ou stratégique.
Une menace qu’aucune industrie et qu’aucune entreprise ne doit prendre à la légère. L’ANSSI rappelait lors du FIC 2020 que les rançongiciels représentent la menace informatique actuelle la plus sérieuse pour les entreprises et institutions, par le nombre d’attaques quotidiennes et leur impact potentiel sur la continuité d’activité. Le CERT-FR vient d’ailleurs de publier un rapport qui revient en détail sur les différentes typologies d’attaques ainsi que leurs victimes et qui s’intéresse aux coûts, aux revenus et aux effets latents liés à ces campagnes malveillantes.

A lire aussi :
(FIC 2020) Les ransomwares vont s’en prendre à l’IoT et aux infrastructures
État de la menace rançongiciel à l’encontre des entreprises et institutions