Ransomware : les attaquants à l’assaut des systèmes IT et OT des industriels

Daniel Kapellmann Zafra
Feb 24, 2020
12 min read
|   DERNIÈRE MISE À JOUR Aug 19, 2022

Depuis au moins 2017, le nombre d’attaques par ransomware contre des entreprises industrielles et des opérateurs d'importance vitale (OIV) a considérablement augmenté. WannaCry, LockerGoga, MegaCortex, Ryuk, Maze et, aujourd’hui, SNAKEHOSE (aussi appelée Snake / Ekans) : on ne connaît que trop ces noms de ransomware qui ont coûté des millions en rançons et dommages collatéraux à des victimes de nombreux secteurs. Ces incidents ont également beaucoup perturbé et ralenti les processus physiques qui permettent à ces entreprises de produire et livrer des biens et services.

Certes, on a beaucoup dit et écrit sur les victimes et les conséquences immédiates des campagnes de ransomware lancées à l'encontre des industriels. Mais le débat public passe à côté de l’essentiel. D'attaques opportunistes à l'origine, les cybercriminels sont passés à un mode opératoire en deux temps : compromission de environnement, puis déploiement du ransomware. D'où une augmentation des opérations de reconnaissance visant à identifier et cibler les systèmes essentiels à la chaîne de production. Qu’elles touchent les ressources critiques de réseaux d’entreprise ou les machines de réseaux OT, les infections par ransomware ont souvent les mêmes conséquences : des retards de livraison, une pénurie de produits ou une rupture de la chaîne de services.

Pour saisir pleinement les spécificités des campagnes de ransomware dans le secteur industriel, il faut évidemment bien connaître ce milieu, mais aussi disposer d’une bonne visibilité sur les systèmes IT et OT. Ponctués d’exemples tirés de nos missions de conseil et de nos recherches sur les menaces, cet article vous invite à découvrir comment ces nouvelles campagnes de ransomware post-compromission ont démultiplié les capacités de nuisance des attaquants.

Ransomwares post-compromission : le scénario de tous les dangers pour les industriels

La plupart des attaques par ransomware traditionnelles reposent sur une approche « tous azimuts ». Elles consistent à mener des campagnes sans cible précise pour infecter un maximum de victimes et crypter leurs fichiers et leurs données. Les hackers demande ensuite une rançon comprise entre 500 et 1 000 dollars, en espérant qu'un maximum de victimes obtempéreront. Si les technologies opérationnelles (OT) n’étaient souvent pas concernées par les premières campagnes de ce type, le ciblage récent d’infrastructures critiques et industrielles tout entières montre que les cybercriminels ont adopté une approche beaucoup plus complexe.

Dans ces opérations en plusieurs temps, les attaquants recourent encore souvent à des malwares largement répandus pour obtenir un premier accès à l’environnement de leur victime. Mais une fois infiltrés, ils tenteront d'obtenir des droits d’accès privilégiés afin de se déplacer latéralement sur les réseaux et d’identifier les systèmes critiques. Ce n'est qu'une fois ces cibles clairement identifiées qu'ils déploient leur ransomware. Cette approche permet également aux attaquants de désactiver les processus de sécurité censés détecter les indicateurs et comportements connus des ransomwares. Ils ratissent plus large en espérant atteindre les systèmes critiques, ce qui  accroît l’ampleur et l’efficacité de leur offensive finale. Ainsi, les attaquants sont en position de force pour négocier et exiger des rançons bien plus élevées – mais généralement proportionnées à la capacité financière perçue des victimes et à la valeur des ressources cryptées. Pour de plus amples informations et détails techniques sur ces types d'activités, consultez nos articles récents consacrés à FIN6 et TEMP.MixMaster.

 


Figure 1 : Comparatif des attaques par ransomware « tous azimuts » et post-compromission

Historiquement, l’impact des attaques opportunistes s’est souvent limité à quelques ordinateurs. Il est parfois arrivé que des systèmes OT intermédiaires soient touchés, parce qu'ils étaient accessibles par Internet, mal segmentés ou exposés à des supports multimédia portables infectés. L’année 2017 a également été le théâtre de campagnes comme NotPetya et BadRabbit, qui utilisaient des vers informatiques destructeurs de données pour perturber les activités des entreprises, tout en se faisant passer pour des attaques par ransomwares. Bien que les campagnes de ce genre représentent une menace pour la production industrielle, l’adoption de schémas d'attaques post-compromission a radicalement changé la donne de plusieurs manières :

  • À l’heure où les cybercriminels ciblent leurs attaques sur des secteurs ou entreprises spécifiques, celles et ceux pour lesquels la haute disponibilité s’avère primordiale (compagnies d’eau et d’énergie, hôpitaux, industriels, etc.) ou qui semblent avoir les reins assez solides pour s’acquitter d’une rançon (de par leur chiffre d’affaires) sont plus que jamais en ligne de mire. On assiste donc à un élargissement du terrain de chasse de cybercriminels historiquement connus pour tremper dans le négoce d'informations à valeur marchande (numéros de cartes bancaires, données clients, etc.).
  • Lorsqu'ils mènent des repérages, se déplacent latéralement à travers les réseaux infiltrés et déploient leurs ransomwares sur des systèmes vitaux, les cybercriminels se placent en position de force pour les négociations.
  • Plus important encore, les modes opératoires souvent utilisés par les hackers à visées financières ressemblent à ceux d'attaquants sophistiqués aux stades initiaux et intermédiaires d’attaques contre les technologies opérationnelles. On peut en déduire que ces cybercriminels ont certainement les moyens de déployer des ransomwares sur les systèmes OT intermédiaires pour perturber encore davantage les opérations.

Démonstration de force du cybercrime financier dans les environnements OT

La capacité d’un ransomware à faire mouche sur un système compromis dépend de nombreux facteurs, notamment de son aptitude à paralyser les systèmes les plus critiques pour le cœur de métier de sa victime. Ainsi, il est probable que des attaquants aguerris évoluent progressivement de simples processus IT et métiers vers des ressources OT de monitoring et contrôle de processus physiques. Pour preuve, des familles de ransomwares comme SNAKEHOSE ont été conçues pour exécuter leur payload après avoir stoppé une série de processus, y compris certains logiciels industriels d’éditeurs comme General Electric et Honeywell. Au premier abord, la « kill list » de SNAKEHOSE semble cibler tout particulièrement les environnements OT du fait du nombre relativement restreint de processus (parmi lesquels un nombre élevé de processus liés aux technologies opérationnelles) identifiés à l’aide des outils automatisés de tri initial. Toutefois, après avoir extrait manuellement cette liste de la fonction de SNAKEHOSE chargée de stopper les processus, nous avons découvert qu’elle ciblait en réalité plus de 1 000 d’entre eux.

Nous avons également trouvé des « kill lists » de processus très similaires dans des échantillons d’autres familles de ransomwares comme LockerGoga, MegaCortex et Maze. Sans surprise, toutes ces familles de code ont été impliquées dans des incidents graves subis par des industriels ces deux dernières années. La « kill list » de processus OT la plus ancienne que nous ayons identifiée était un script de commandes déployé avec LockerGoga en janvier 2019. Cette liste ressemblait beaucoup à celles utilisées par la suite lors des incidents MegaCortex, à l’exception de quelques différences notables comme une faute de frappe sur un processus OT, absente de nos échantillons de SNAKEHOSE et MegaCortex : « proficyclient.exe4 ». L’absence de cette erreur dans les échantillons de SNAKEHOSE et MegaCortex laisse à penser qu’un des développeurs l’a identifiée et corrigée au moment de copier les processus OT de la liste de LockerGoga. Ou bien est-ce l’auteur de LockerGoga qui aurait mal copié ces processus à partir d’une possible source commune, comme une publication sur le Dark Web ?

 


Figure 2 : Saisie de « proficyclient.exe » dans les « kill list » déployées avec LockerGoga (gauche) et SNAKEHOSE (droite)

Quelle que soit la première famille de ransomwares à avoir incorporé les processus OT à une « kill list » ou quelle que soit la source de cette liste, son omniprésence dans les différentes familles de malwares montre à quel point son rôle est plus important que n’importe quelle  famille qui se l'est appropriée . Si la présence de processus OT dans ces listes n’est peut-être que la résultante d’une simple collecte automatisée de processus à partir des environnements ciblés, et non le signe d’une volonté délibérée de cibler les technologies opérationnelles, elle offre de facto aux cybercriminels la possibilité de nuire aux systèmes OT. En outre, à mesure que les acteurs du cybercrime financier s'enhardissent de leur capacité de nuire au secteur industriel, qu'ils se familiarisent avec les technologies opérationnelles et identifient des dépendances entre les systèmes IT et OT, on peut s'attendre à les voir développer et exploiter des fonctionnalités capables de perturber d’autres systèmes et environnements d'exploitation de technologies et produits logiciels industriels.

Ransomwares sur les systèmes IT et OT, une vraie épine dans le pied des industriels

Conséquence directe de la nouvelle stratégie d'attaque post-compromission et de l'intérêt accru des hackers pour le secteur industriel, les ransomwares ont eu un impact visible sur la production industrielle, peu importe que les malwares aient été déployés sur des systèmes IT ou OT. La paralysie de serveurs et ordinateurs sur les réseaux IT ont en effet perturbé directement ou indirectement les processus de production physique contrôlés par les réseaux OT. Résultats : pertes de marchés dues à des pénuries et des retards de livraison de produits et services, dépenses engagées dans la réponse à incident, amendes, réputation écornée, voire versement de rançons dans certains cas. En somme, des pertes financières durables. Dans le cas des opérateurs d'importance vitale (OIV) comme des acteurs de l'énergie et des services public, c'est l'activité d'une nation tout entière qui dépend de leur bon fonctionnement.

Parmi les cas de répercussions directes d'une paralysie des réseaux IT sur la production industrielle, l’incident de Norsk Hydro a fait grand bruit. En mars 2019, des perturbations des systèmes de gestion des processus métiers (BPMS) ont en effet contraint de nombreux sites de l’entreprise à mettre tous leurs automatismes à l'arrêt. Parmi les autres dommages causés, le ransomware a également interrompu les communications entre les systèmes IT utilisés pour gérer les ressources de la chaîne de production. L’interruption de ces flux d’informations (sur les stocks de produits, notamment) a obligé les salariés de l’entreprise à tenir manuellement des registres d'inventaire pour plus de 6 500 références sur 4 000 rayonnages. FireEye Mandiant est intervenu sur au moins un incident similaire chez un constructeur de plateformes pétrolières. TrickBot avait alors servi à déployer le ransomware Ryuk. Si seuls les réseaux d’entreprise ont été infectés, l'immobilisation de l’ERP Oracle n'en a pas moins bloqué temporairement l’entreprise et sa production.

Les ransomwares peuvent causer le même type de dégâts lorsqu’ils infectent des ressources informatiques des réseaux OT (interfaces homme-machine, systèmes SCADA, postes de travail d’ingénierie, etc.) La plupart de ces équipements reposent sur des logiciels et des systèmes d’exploitation standards, sur lesquels plane une grande variété de menaces IT. Certaines sources confidentielles de FireEye Mandiant font état d’au moins un cas d'attaque par ransomware de grande ampleur ayant contraint un industriel à fermer son usine. Mal segmenté, le réseau des installations a permis au malware de se propager du réseau d’entreprise vers le réseau OT, où il a pu chiffrer des serveurs, des interfaces homme-machine (HMI), des postes de travail et des sauvegardes. Pour récupérer ces dernières, l’industriel a dû faire appel à plusieurs fournisseurs. L'âge de certaines sauvegardes a par ailleurs considérablement retardé la reprise d’activité.

Pas plus tard qu’en février 2020, la CISA (Cybersecurity Infrastructure and Security Agency) a publié l’alerte AA20-049A, qui explique comment une infection par ransomware post-compromission a atteint les systèmes de communication et de contrôle du réseau OT d’une station de compression de gaz naturel. L’impact sur les HMI, les données historiques et les serveurs de polling a réduit la disponibilité des systèmes, mais aussi la visibilité des opérateurs humains. L’entreprise a alors dû cesser ses activités pendant deux jours.

Protéger les systèmes IT et OT pour atténuer l’impact des ransomwares

Plus organisés et efficaces que jamais, les auteurs d'attaques par ransomware font exploser les coûts d’exploitation de leurs victimes. C'est pourquoi nous encourageons toutes les entreprises à évaluer leur niveau de sécurité et leurs risques industriels face à une attaque par ransomware. Même si chaque cas est différent, les recommandations ci-dessous devraient vous aider à bien vous y préparer et à renforcer vos défenses contre d’autres menaces qui planent sur vos opérations (le cryptojacking, par exemple).

Pour des services personnalisés et une Threat Intelligence immédiatement exploitable pour vos systèmes IT et OT, contactez nos équipes FireEyeMandiant Consulting, Managed Defense et Threat Intelligence.

  • Conduisez des exercices de simulation et/ou Red Team contrôlés afin d’évaluer votre niveau actuel de sécurité et la capacité de votre entreprise à répondre aux attaques par ransomware. Généralement conduites dans des environnements hors production, ces simulations d’attaque vous aideront à mesurer la capacité de votre équipe de réponse à incident à détecter, analyser et récupérer d’une telle attaque. Réévaluez vos besoins à la lumière des résultats de ces exercices. En règle générale, l'organisation régulière de simulations sensibilise les équipes et améliore leur efficacité face aux vrais incidents.
  • Faites un bilan de vos opérations, vos processus métiers et vos workflows afin d’identifier les ressources critiques pour la continuité de votre activité industrielle. Assurez-vous autant que possible de la redondance de toutes les ressources critiques à faible tolérance aux interruptions de service. Le niveau et le type de redondance varient d'une entreprise à l'autre : un diagnostic de risque et une analyse coût-bénéfice vous permettront de déterminer les vôtres. Mais attention à bien impliquer les responsables de processus métiers et à faire collaborer les équipes IT et OT.
  • Séparez de façon logique vos ressources primaires et redondantes à l’aide d’un pare-feu en réseau ou sur l’hôte, puis renforcez leur sécurité (par exemple en désactivant des services comme SMB, RDP et WMI, souvent utilisés pour la propagation des ransomwares). En plus de créer des politiques qui désactivent les connexions distantes et peer-to-peer inutiles, nous vous recommandons d’auditer régulièrement tous les systèmes susceptibles d'héberger ces services et protocoles. Une telle architecture résiste généralement davantage aux incidents de sécurité.
  • Lors de l’établissement d’un plan rigoureux de sauvegarde, veillez à la sécurité (et à l’intégrité) de vos sauvegardes. Tout ce qui a un caractère critique doit être conservé hors ligne ou, au minimum, sur un réseau séparé.
  • Optimisez vos plans de reprise d’activité afin de raccourcir les délais de restauration. Votre plan doit prévoir des workflows alternatifs (y compris manuels) jusqu’au retour à la normale. Ces workflows s’avèrent particulièrement essentiels pour les entreprises dont les ressources critiques sont peu, voire pas redondantes. En cas de restauration à partir de sauvegardes, renforcez la sécurité des ressources restaurées et de toute votre infrastructure afin de prévenir toute infection et propagation récurrentes de ransomware.
  • Définissez les responsabilités de chacun et prévoyez des règles claires de gestion des équipements de protection du réseau OT afin de pouvoir effectuer des modifications dans l’urgence, dans toute l’entreprise. Maintenez une segmentation réseau efficace en cas de confinement et d’intrusion en cours.
  • Traquez les éventuelles activités malveillantes sur vos systèmes intermédiaires – ces serveurs et postes de travail en réseau qui utilisent des protocoles et systèmes d’exploitation standards. Même si ces systèmes n’exercent pas de contrôle direct sur les processus physiques, ils sont beaucoup plus susceptibles d’héberger des attaquants.
  • Chaque entreprise est différente. Elle a sa propre architecture interne et ses propres processus pour répondre aux besoins et attentes bien spécifiques de ses clients et autres acteurs de son écosystème. Nos recommandations doivent donc être étudiées à la lumière de votre propre infrastructure. Par exemple, il est fortement recommandé de segmenter le réseau pour réduire la propagation des ransomwares. Toutefois, en cas de restriction budgétaire, les entreprises pourront recourir à la diversification des ressources redondantes, à des pare-feu sur l’hôte et à des mesures de renforcement de la sécurité, en lieu et place des pare-feu matériels.