Le mois dernier, des chercheurs issus de sociétés de cybersécurité ont repéré un morceau de code d’un logiciel malveillant ou ransomware. Il est conçu pour cibler directement les systèmes de contrôles industriels. Par le passé, ces types de logiciels ont été utilisés par les pirates pour détruire des installations industrielles ou provoquer une panne. L’échantillon détecté par les experts adopte une tactique assez particulière. Il semble que le virus soit destiné à tuer les logiciels de contrôle, à crypter les données et à les retenir en otage dans un but de rançonnement. Les chercheurs ont identifié le nom du logiciel malveillant : EKANS.
Outre sa capacité à tenir en laisse les logiciels de contrôle, EKANS réserve encore d’autres astuces plus morbides. Il est capable de terminer 64 processus logiciels sur les ordinateurs ciblés. C’est de cette façon que le virus va ensuite crypter les données destinées à la fonction d’interaction entre les systèmes de contrôle. A priori, EKANS n’est pas un virus destiné au sabotage industriel. Néanmoins, il peut facilement casser les logiciels de gestion pour surveiller un ensemble d’infrastructures comme les pipelines et les robots utilisés par une entreprise industrielle. Les conséquences peuvent être désastreuses pour cette dernière. En effet, elle pourrait perdre le contrôle de son infrastructure ou sa capacité de contrôle à distance.
Jusqu’ici, EKANS est le deuxième type de logiciel malveillant qui fonctionne de cette manière après le ransomware Megacortex, capable de détruire l’ensemble des fonctionnalités de système de contrôle industriel. Les spécialistes pensent que ces deux virus ont été créés par une même entité. Par contre, ils ne sont pas certains si EKANS a été développé par des pirates informatiques commandités par des gouvernements étrangers ou par des organisations criminelles indépendantes à but lucratif. Vitali Kremez, chercheur chez Sentinel One et premier découvreur d’EKANS avec un panel de chercheur chez Malware Hunter Team, pense que ce type de ransomware est le modèle le plus couramment utilisé par les pirates. Il a ajouté que l’entreprise ciblée est plus disposée à payer de peur de perdre ses données. Plusieurs entreprises industrielles ont été frappées par le passé par des ransomwares basés sur Windows. C’est le cas, par exemple, de la société norvégienne Hydro Norsk en 2019. Mail il semble qu’EKANS et Mégacortex soient allés plus loin en matière de capacité de nuisance. Ils peuvent terminer des logiciels spécifiques de contrôle industriel comme le logiciel Proficy, qui conserve l’historique des données opérationnelles d’une entreprise, ainsi que le logiciel Fanuc, destiné à la vérification de la licence payée par un client. EKANS est aussi capable de terminer le logiciel d’interface de contrôle conçu par Honeywell : Thingworx. Cette capacité de nuisance permet au virus de diminuer la compréhension de la victime, selon Joe Slowik, chercheur pour la société de sécurité ICS Dragos.
La société Sentinel One indique que la société pétrolière du Bahreïn, Bapco, figure parmi les victimes du logiciel de rançonnement EKANS. Joe Slowik ajoute que le logiciel d’automatisation Fanuc, une des cibles préférées d’EKANS, est dédié à la gestion des équipements dans les industries de fabrication, mais pas dans les sociétés pétrolières. Le chercheur conclut que, par conséquent, il y a d’autres victimes non déclarées au Moyen-Orient. Pour sa part, la société israélienne de cybersécurité Otorio pense que le virus EKANS est l’œuvre de pirates iraniens. Il y a un mois, la société Bapco a été victime d’une attaque par effacement des données de la part de l’Iran à travers un logiciel malveillant portant le nom de « Dustman ». Cette attaque est survenue quelques jours avant l’assassinat du général iranien Quassem Soleimani. Mais un rapport d’ICS Dragos affirme le contraire. Ce dernier affirme que la similitude entre EKANS et Megacortex prouve qu’il s’agit d’un logiciel à but purement lucratif. De plus, la société Dragos estime qu’un certain nombre de ressemblances fait que ces deux logiciels sont l’œuvre d’une même entité. Mais si le virus ne provient pas de l’Iran, il constitue, par contre une menace de premier ordre. Tout d’abord, parce qu’il s’agirait du ransomware le plus sophistiqué à l’heure actuelle entièrement conçu par des pirates indépendants. Jusqu’ici, ces types de logiciels ont été utilisés par des agences de renseignement comme la NSA qui, avec le renseignement israélien, a utilisé le bot Stuxnet pour annihiler le programme d’enrichissement nucléaire iranien en 2007. Les Russes ne sont pas en reste. Les pirates gouvernementaux Sandworm ont réussi à couper l’électricité à Kiev à travers le logiciel automatisé Industroyer, connu également sous le nom de Crash.
À lire aussi : Ransomware : ça rapporte et va rapporter !
