En dépit d'élever sa tête laide et glissante tout au long du mois de janvier, le célèbre rançongiciel Snake continue d'être un fardeau majeur pour les entreprises. Les entreprises étant plus dépendantes de leurs systèmes informatiques pour assurer le fonctionnement de leur entreprise et permettre au personnel de travailler à distance, il est temps de couper la tête contre cette infection informatique malveillante et de se remettre au travail.
Bien que plus familier que la plupart de la menace des serpents réels, le rançongiciel Snake a soulevé des préoccupations pour les opérateurs de systèmes de contrôle industriel (ICS). Ces équipes sont essentielles pour garder le rythme cardiaque numérique des entreprises dans une gamme d'industries telles que les mines, les services publics et la fabrication.
Snake vise à extorquer ses victimes en chiffrant leurs fichiers, laissant aux organisations peu d'option que de payer à nouveau les pirates pour libérer les systèmes. Découvert pour la première fois en janvier 2020, le ransomware est similaire au MegaCortex, qui s'est répandu en 2019.
Depuis le premier jour, Nozomi Networks Labs surveille et analyse activement les informations provenant des principales sources de l'industrie pour garder une longueur d'avance sur Snake et nous avons ajouté des signatures de rançongiciels Snake à notre référentiel Threat Intelligence.
Sommaire
A propos de l'auteur
Michael Bailie est Manager Delivery Solutions and Projects (APAC) pour Nozomi Networks, spécialiste de la cybersécurité industrielle et des technologies opérationnelles.
Le ransomware utilise l'obfuscation – ce qui signifie que les processus généralement trouvés dans les environnements ICS sont tués avant le début du cryptage – pour rendre l'analyse difficile.
Fait intéressant, nous avons constaté que Snake n'essaie pas de se propager, mais s'appuie plutôt sur la propagation manuelle. Les voies à infecter incluent les pièces jointes malveillantes et l'exploitation de services non corrigés ou mal sécurisés. Les e-mails en particulier deviennent de plus en plus sophistiqués et de nombreux cybercriminels peuvent imiter avec succès les e-mails des PDG des entreprises, ce qui incite souvent le personnel à réagir ironiquement pour impressionner ou ne pas décevoir le patron.
En utilisant un échantillon Snake, nous avons découvert que le ransomware contenait des chaînes liées à des processus souvent trouvés dans les environnements ICS. Après une enquête plus approfondie, nous avons découvert que le ransomware peut tuer un certain nombre de processus, puis tenter de chiffrer tous les fichiers accessibles.
Une menace permanente
Pourquoi Snake exécute toujours Riot est simple: pas de patch système, donc pas de paix et de tranquillité. Alors que Snake attaque depuis les profondeurs de l'environnement ICS, les correctifs sont chers et de nombreuses organisations le retiennent jusqu'à ce qu'une mise à niveau soit nécessaire.
Bien que les raisons de cela soient compréhensibles – coût et complexité – les entreprises devront peut-être tenir compte du monde relativement nouveau d'incertitude dans lequel nous sommes plongés. Au cours des derniers mois, nous avons vu des conditions météorologiques extrêmes aux deux extrémités du spectre faire des ravages dans le pays, tandis que plus récemment, la nouvelle épidémie de coronavirus / COVID-19 a stoppé de nombreuses entreprises, provoquant des fermetures et forçant le personnel à travailler à distance .
Les calculs indiquent que l'épidémie effacera 34 milliards de dollars de l'économie, et de nombreuses entreprises ressentent déjà l'impact avec du personnel incapable de voyager, des événements annulés et des routes commerciales importantes fermées.
Heureusement, des technologies telles que la conférence virtuelle et les logiciels de bureau virtuel permettent à de nombreuses entreprises de continuer à fonctionner en ces temps incertains. Mais le recours accru à cette technologie augmente l'importance d'avoir votre maison de cybersécurité afin de garantir que l'infrastructure critique est protégée contre les attaques de ransomwares comme Snake.
Le coût des temps d'arrêt et des activités cybercriminelles est déjà incroyablement élevé, et les acteurs de la menace le savent. Une fois infecté par un ransomware, il ne vous reste plus d'autre choix que de payer. Si les cybercriminels savent à quel point il est coûteux pour vos systèmes de baisser, vous pouvez parier que leur prix augmentera. Et de façon réaliste, vous le paierez aussi.
Garder le serpent à distance
La nature agressive de Snake signifie qu'il est essentiel d'avoir plusieurs contrôles en place pour le détecter et l'empêcher.
Plus que jamais, les entreprises doivent prendre la menace au sérieux et s'assurer qu'elles respectent les consignes de sécurité générales, en particulier dans les domaines suivants:
- Analyse et filtrage du contenu du courrier
- Sensibilisation à la sécurité dans toute l'organisation pour éviter d'être victime de phishing
- Appliquer un bilan de santé à l'infrastructure réseau, en veillant à ce que la séparation du réseau et les politiques de pare-feu soient en place
- S'assurer que tous les appareils et services sont corrigés, malgré les coûts et la complexité (les choses deviendront beaucoup plus coûteuses et complexes si vous subissez une attaque)
- Mettre en œuvre une politique de sauvegarde résiliente qui prendra en charge un accès rapide aux fichiers impactés
La formation est toujours vitale avec ce type de ransomware, et la cybersécurité en général, les entreprises doivent donc intégrer une formation continue de sensibilisation à la sécurité pour les employés et le personnel afin de les aider à mieux identifier les courriels faux et malveillants.
En plus des filtres anti-spam et des pare-feu habituels, nous recommandons d'utiliser la technologie de détection des anomalies dans les environnements ICS pour identifier les comportements inhabituels, ainsi que les capacités traditionnelles de détection des menaces pour fournir un contexte et une visibilité supplémentaires autour des acteurs potentiels des menaces.
Rester connecté est essentiel pour toute entreprise, et l'échec à protéger et à obtenir une véritable visibilité sur votre environnement est un moyen infaillible de ressentir la colère de Snake ou d'autres cyber-attaques. N'ajoutez pas aux malheurs déjà ressentis par les entreprises en négligeant cela.
