Blog GlobalSign

14 mai 2019

Attaques d’usines par des rançongiciels dont les petits noms humoristiques ne font pas du tout rire…

Dernière victime en date d’une énorme attaque par rançongiciel, le géant industriel norvégien Norsk Hydro sort à présent la tête de l’eau, mais le bilan s’avère lourd. La société estime le coût de cette attaque par rançongiciel à 40 millions de dollars.

Le nom de cette attaque ? LockerGoga.

Le rançongiciel a infecté plusieurs systèmes de Norsk Hydro et perturbé plusieurs de ses opérations et activités. Pour l’industriel, le réveil est brutal : les conséquences sur ses environnements de production étaient telles que la production avait dû être interrompue après l’attaque pour basculer en mode manuel.

Par chance, le groupe déclarait quelques temps plus tard avoir engagé les procédures de restauration et annonçait un retour à la normale de la plupart de ses opérations. D’après Computing UK, Norsk Hydro aurait procédé à la « restauration progressive, et en toute sécurité, de ses systèmes informatiques afin de revenir peu à peu à une activité normale » et aurait limité les répercussions sur les personnes, les opérations, les clients, les fournisseurs et autres partenaires.

Deux fabricants de produits chimiques ont également été touchés par l’attaque LockerGoga. D’après Motherboard, les fabricants de résines, silicones et autres matériaux Hexion et Momentive ont tous deux subi des pannes informatiques à l’échelle de la planète.

Dans son communiqué de presse du 22 mars, Hexion relatait l’incident et la progression de son plan de rétablissement. L’entreprise travaillait également en concertation avec ses clients et ses fournisseurs afin de limiter les perturbations.

En quoi cette attaque par rançongiciel est-elle différente ?

Comme les autres rançongiciels, LockerGoga sème la destruction dans son sillage, mais il fonctionne de manière inhabituelle. En effet, il désactive aussi l’adaptateur réseau des ordinateurs ciblés pour les déconnecter du réseau. Il change ensuite les mots de passe utilisateur et administrateur, puis ferme la session utilisateur. Selon TrendMicro, LockerGoga se déplace dans un dossier temporaire et se renomme en ligne de commande (cmd). Le paramètre de ligne de commande utilisé ne contient pas les chemins d’accès aux fichiers que le rançongiciel souhaite chiffrer. Dans certains cas, les victimes ne voient même pas le message de demande de rançon et ignorent donc qu’elles ont été attaquées.

D’après l’analyse complémentaire de Trend Micro, LockerGoga ne semblerait pas avoir la capacité de se propager par lui-même comme c’était le cas de WannaCry ou Petya/NotPetya lors de précédentes attaques (plus d’infos sur ces attaques ci-après). L’analyse statique de Trend Micro révèle également que LockerGoga énumère les adaptateurs réseau wifi et/ou Ethernet du système infecté. Il tente ensuite de les désactiver en ligne de commande via la fonction CreateProcessW (netsh.exe interface set interface DISABLE) pour déconnecter le système de toute connexion externe. LockerGoga exécute cette routine après avoir chiffré les fichiers, mais avant de fermer la session utilisateur. Ce comportement est particulier. On pourrait penser que les conséquences de sa routine de chiffrement de fichiers sont moins lourdes puisque LockerGoga bloque déjà l’utilisateur en dehors du système en changeant les mots de passe des comptes.

Les sites de production deviennent une cible de choix

Ces dernières années, des industriels de tous horizons sont devenus la proie d’un nombre croissant de cyberattaques — parmi ces entreprises, certaines sont extrêmement connues dans le monde. En 2017, Nissan, Renault et Merck ont été la cible de campagnes de rançongiciels comme WannaCry et NotPetya qui ont fait des centaines de millions de dollars de dégâts.

L’an dernier, en plus de s’intensifier, ces campagnes se sont propagées à l’industrie du mobile. Le fabricant de puces pour iPhone TSMC a subi l’offensive d’une variante de WannaCry. Bilan : une production à l’arrêt et des dégâts estimés à 250 millions de dollars. Hormis le coût astronomique, le pire est que TSMC n’était même pas censé être la cible principale ! Et pourtant, des négligences informatiques comme l’absence de correctifs sur les systèmes Windows ont permis aux pirates de s’infiltrer sur les systèmes de l’entreprise. (Moralité : la publication des correctifs Microsoft lors du Patch Tuesday, jamais tu ne manqueras).

Pour les observateurs sectoriels, les attaques par rançongiciels comme LockerGoga pourraient avoir une incidence — néfaste — sur les contrôles industriels. Selon un expert interrogé dans cet article de Wired, « ces systèmes ne sont généralement pas testés dans un scénario où l’on vous prive de vos capacités de contrôle ou de surveillance. Au moindre changement, vous êtes incapable de réagir, et toute situation peut très rapidement dégénérer en crise. »

L’article poursuit en évoquant un incident survenu en 2014 dans une aciérie allemande dont le nom n’a toujours pas été révélé. Un groupe de hackers inconnus s’en était pris à l’usine, empêchant les opérateurs de fermer l’un des hauts fourneaux, ce qui avait entraîné des dommages considérables.

Les pirates informatiques rivalisent toujours d’imagination pour trouver de nouveaux moyens de semer la panique. Pour éviter le pire, les industriels vont devoir faire appel à des entreprises de cybersécurité expérimentées, surtout lorsque des dispositifs connectés à Internet sont en jeu.

L’équipe IoT de GlobalSign travaille avec de plus en plus d’acteurs de l’industrie à la sécurisation de leurs équipements. Rendez-vous sur notre site web pour en savoir plus sur nos produits et solutions pour l’IoT et l’IIoT.

Partager ce blog

Pourriez-vous me rappeler ce qu’est un rançongiciel ?

Smart city : les avantages de la ville intelligente

by Ian Low