Snake: le ransomware qui détruit les SCADA

0

Il y a moins de trois semaines, nous commentions l’émergence de Snake (ou Ekans) un rançongiciel découvert par Malware Hunter Team. Cette classe de malware est le plus souvent utilisée pour extorquer de l’argent aux entreprises ou aux organisations publiques, mais certaines caractéristiques propres à Snake laissaient planer un doute sur sa vocation exacte.

Nous avions relevé qu’il encrypte les données au niveau des fichiers et non du système de fichiers. Nous évoquions comme conséquence une efficacité redoutable sur les systèmes de fichiers propriétaires et/ou exotiques, largement répandus sur les systèmes SCADA qui régissent de grandes infrastructures publiques ou privées (usines, distribution d’énergie, traitement des eaux, barrages, etc.).

Le dernier rapport de Dragos sur cette menace confirme cette intuition. Dragos a identifié une affiliation entre Snake et un rançongiciel appelé Megacortex. Tous les deux conçus pour stopper des processus système (des applications fondamentales) propres aux équipements SCADA et ainsi susceptibles de mettre un coup d’arrêt sévère à des infrastructures de première nécessité. Dans la liste des processus stoppés par le malware, on trouve par exemple des logiciels d’interface homme-machine et des solutions de contrôle. On peut s’attendre à ce que cette liste s’enrichisse de nouveaux processus issus  d’autres solutions utilisées par les systèmes des Opérateurs d’Importance Vitale dans les prochains mois.

La criticité de ces systèmes et l’impact parfois irréversible de leur mise à mal sur la population civile, sous-entendent, de la part de leurs auteurs, une volonté de détruire, plutôt que la recherche d’un levier pour obtenir le paiement d’une rançon. 

Avec Snake, on entre dans une nouvelle ère du rançongiciel où la protection et la sauvegarde sont la seule alternative. 

About Author

Christophe Lambert

Ingénieur Système et Responsable grands comptes chez Cohesity

Leave A Reply