🏭 Industrie : l'inquiétude face aux rançongiciels

Salut Shaker 👋

C’est vendredi, voici le Shake. Pour toi, voici ce que l’on a retenu du digital et de la cyber cette semaine.

Dans l’actu :

👮🏻 Europol démantèle un vaste réseau de fraude crypto en Europe,

🗂️ 1.7 TB de données volées à l’entreprise israélienne Cellebrite - experte du renseignement numérique,

🦝 Les malwares Racoon et Vidar se propagent via de faux sites de logiciels craqués,

🚰 Circle CI de nouveau victime d’un incident de sécurité,

🎙️ L’interview du groupe de ransomware Mallox,

On t’explique tout ça plus bas.

Retrouve le mag : 🔄 l’infographie : comment un ransomware rentre dans une entreprise, 🏭 un rapport d’Otorio traitant de l’évolution de la cybersécurité industrielle, des ingrédients à la carte pour partager vos propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

La Shakerz core team

〰️ La reco du barman 〰️

🏭 Industrie : l’inquiétude grandit face aux rançongiciels

Déjà 22 alertes en janvier

Le 17 janvier, l’agence de cybersécurité américaine (CISA) a publié 4 alertes de sécurité sur les vulnérabilités actuelles et les exploits concernant les systèmes de contrôle industriel (ICS).

Ces 4 alertes viennent s’ajouter aux 12 alertes publiées le 12 janvier, aux 2 alertes du 10 janvier ainsi qu’aux 3 alertes du 5 janvier. Et hier une nouvelle alerte.

À date, c’est un total de 22 équipements de contrôle industriels qui font l’objet d’alertes. Et le mois n’est pas encore terminé…

APT et gangs s’attaquent aux SCADA

Les infrastructures industriels critiques sont une cible privilégiée des cybercriminels. Parmi eux, deux acteurs de menace principaux s’intéressent aux systèmes industriels : d’une part, les acteurs étatiques et para-étatiques, et d’autre part, les grangs de rançongiciels.

Depuis Stuxnet en 2010, ce malware de type “worm” attribué à l’agence nationale de sécurité des États-Unis (NSA) et à l’unité israélienne 8200, qui a attaqué les centrifugeuses Iraniennes dans le but de freiner la course au nucléaire militaire, les états se sont lancés dans l’acquisition de capacités d’attaque.

Dans un avis conjoint de cybersécurité publié en avril 2022, le ministère de l'Énergie (DOE), la CISA, la NSA et le FBI avertissaient déjà les organisations d’infrastructures critiques, en particulier celles du secteur de l’énergie, que certains acteurs de menaces persistantes avancées (APT) avaient démontré qu’ils étaient capables d'obtenir un accès complet à plusieurs systèmes de contrôle industriel et systèmes de contrôle et d'acquisition de données (SCADA) dans le but de perturber les dispositifs ou les fonctions critiques

L’attaque de Colonial Pipeline, un réveil douloureux pour les USA

L’attaque de Colonial Pipeline en mai 2021 est la plus grande cyberattaque connue contre une infrastructure industrielle critique aux États-Unis.

L’attaque a été menée en plusieurs étapes par le groupe de pirates DarkSide. Les pirates se sont d’abord introduit dans le réseau de Colonial Pipeline et sont parvenus à dérober 100 Go de données en seulement 2 heures, ils ont ensuite infecté le réseau informatique avec un ransomware. Face à l’urgence, les équipes IT ont été contraintes de mettre hors service le contrôle du pipeline pour préserver l’OT d'une éventuelle indisponibilité à long terme causée par une infection réussie. Colonial Pipeline s’est finalement résigné plus tard à payer la rançon pour obtenir la clé de déchiffrement et reprendre le contrôle de ses systèmes.

Cette attaque est le parfait exemple pour illustrer la dangerosité des rançongiciels face aux systèmes de contrôle industriels. Lorsque ceux-ci ne sont pas ciblés directement, ils peuvent toutefois être pertubés lorsque l’IT est ciblé. Le groupe Darkside n’est pas seul : dans un récent rapport, l’entreprise Dragos recensait “48 groupes différents de ransomware qui ciblent les organisations et les infrastructures industrielles”.

Parmi ces groupes, on y trouve le prolifique Lockbit : “La famille de ransomware Lockbit représente respectivement 33 % et 35 % du total des incidents de ransomware qui ciblent les organisations et infrastructures industrielles au cours des deux derniers trimestres.” C’est le rapport Q3 2022 de Dragos qui l’indique.

A l’époque, la prédiction de l’entreprise était la suivante pour le dernier trimestre 2022 :

Si cette prédiction ne s’est pas totalement réalisée, l’accélération des efforts de la CISA sur la sécurité des SCADA est majeure.

Ce qu’il faut retenir des travaux de la CISA sur les rançongiciels et sécurité industrielle

Les méthodes traditionnelles pour protéger les systèmes OT/ICS ne sont pas suffisamment efficaces face aux menaces actuelles. Cependant, en comprenant les tactiques, techniques et procédures (TTP) utilisées par les cybercriminels, les propriétaires et exploitants de ces systèmes peuvent prioriser les mesures de renforcement de ces systèmes. Un guide (09/2022) basé sur les orientations passées de la NSA et du CISA, décrit les TTP utilisées par les criminels pour compromettre les actifs OT/ICS et recommande des mesures pour se protéger. Les propriétaires et exploitants de systèmes OT/ICS sont encouragés à suivre ces recommandations.

🔄 Un Ransomware : comment ça marche ?

〰️ Vos shots 〰️

👮🏻 Europol démantèle un vaste réseau de fraude crypto en Europe

Un groupe criminel organisé opérant depuis la Bulgarie, Chypre et la Serbie a été démantelé grâce à une action coordonnée d'Eurojust et Europol. Le réseau frauduleux utilisait des centres d'appels en Serbie et des infrastructures technologiques en Bulgarie pour escroquer des victimes en Allemagne, Suisse, Autriche, Australie et Canada. Au total, 4 centres d’appels et 18 lieux perquisitionnés, plus de 250 personnes interrogées et plus de 150 ordinateurs, équipements électroniques, voitures, appartement de luxe, 1 million de dollars en cryptomonnaie et 50 000 euros en espèces ont été saisis. Selon Eurojust et Europol, les victimes de ces arnaques se comptent par milliers et il ne s’agit probablement que de la partie immergée de l’iceberg.

🗂️ 1.7 TB de données volées à Cellebrite

L’entreprise israélienne Cellebrite est l’un des leaders mondiaux dans le domaine de la lutte contre la cybercriminalité. Son service le plus populaire est l'UFED (Universal Foresenic Extraction Device), utilisé par les services de police et de renseignement pour déverrouiller et accéder aux données des appareils mobiles lors des investigations. En 2019, l’entreprise affirmait même que son nouvel outil pouvait déverrouiller "presque tous les appareils iOS et Android".

Cette fois, c’est à son tour d’être victime d’une violation de données. Le 13 janvier, des données de Cellebrite ainsi que celle d’une société suédoise de médecine légale (MSAB) ont été divulguées en ligne et proposées au téléchargement par le collectif Enlace Hacktivista, puis par la plateforme DDoSsecret. Les données divulguées contiennent, entre autres, la suite complète des programme Cellebrite, dont son logiciel phare UFED, des analyseurs physiques, des outils de licence et le lecteur Cellebrite… Léger désordre.

🦝 Les malwares Racoon et Vidar se propagent via de faux sites de logiciels craqués

Dans une analyse publiée début janvier, la société de cybersécurité française SEKOIA, a révélé qu’une "infrastructure importante et résiliente" comprenant plus de 250 domaines était utilisée pour distribuer depuis 2020 les malwares voleurs d'informations Raccoon et Vidar. Ce vaste réseau doté de centaines de faux sites de téléchargement cible les utilisateurs à la recherche de versions hackées de logiciels et de jeux vidéos sur les moteurs de recherche. Ces sites web ont la particularité d’être positionnés en tête de liste dans les résultats de recherche grâce à une technique appelée “empoisonnement du moteur de recherche". Le résultat, s’il est cliqué, est accompagné d’une séquence de redirection d’URL en 5 étapes, pour diriger l’utilisateur vers un site affichant un lien de téléchargement destiné à exécuter les charges utiles malveillantes. Selon les chercheurs "L'utilisation de plusieurs redirections complique l'analyse automatisée par les solutions de sécurité". Cette infrastructure a été conçue de telle sorte à maintenir la résilience du réseau an facilitant les mises à jour et le changement d’étapes.

🚰 Circle CI à nouveau victime d’un incident de sécurité

Après avoir alerté ses clients d’un incident de sécurité le 4 janvier 2023, la plateforme d'intégration et de livraison continue CircleCI revient sur cet événement dans le billet de blog de son directeur technique. Selon Rob Zuber, “un tiers non autorisé a exploité un logiciel malveillant déployé sur l'ordinateur portable d'un ingénieur de CircleCI afin de voler une session SSO [authentification à deux facteurs] 2FA [single sign-on] valide. Cette machine a été compromise le 16 décembre 2022".

Le vol du jeton de session a permis aux cybercriminels d'usurper l'identité de l'employé qui disposait des privilèges nécessaires pour générer des jetons d’accès à la production. Ainsi, les attaquants ont pu accéder à certains systèmes de production de l'entreprise, qui stockent les données des clients. Bien que les données exfiltrées étaient chiffrées, les cybercriminels ont également obtenu les clés de chiffrement permettant de les déchiffrer. Les clients, qui n’auraient pas encore pris de mesures d’atténuation sont encouragés à la faire rapidement afin d’éviter tout accès non autorisé aux systèmes et magasins tiers. D’autant plus que plusieurs clients ont dores et déjà informé CircleCi d’accès non autorisés à leurs systèmes.

🎙️ L’interview du groupe de ransomware Mallox

Le porte-parole de Mallox, un groupe de ransomware “montant”, s’est livré dans une interview auprès de SuspectFile. Dans cet échange très interessant, qui dénote avec les interviews habituels de groupe de ransomware dans lequel on découvre généralement des profils plutôt imbus d’eux-mêmes, on a affaire cette fois-ci à une personne “mesurée” dans ses réponses.

Plusieurs choses intéressantes ressortent de cet interview :

• Le groupe de ransomware est connu pour demander des rançons très faibles, de l’ordre de quelques milliers de dollars, même quand il s’agit de victimes à gros capitaux. Selon son porte-parole, le prix de la rançon est évalué à partir du montant des dommages causés, soit la quantité de données cryptées et leur valeur. En partant du principe que l’entreprise, même si elle dispose de beaucoup de capital, va toujours chercher à ne pas payer la rançon et à récupérer ses données par ses propres moyens, le groupe de ransomware fixe toujours le prix de la rançon, inférieur aux coûts de récupération estimés pour inciter l’entreprise à payer.

• Des analyses effectuées sur des échantillons du ransomware Mallox révèlent certaines caractéristiques notables comme l’arrêt systématique de services. Selon le groupe Mallox, tous les services inutiles qui consomment des ressources sont désactivés pour ne pas interferer avec le processus de chiffrement.

• Le groupe déclare opérer depuis la région européenne et ne pas avoir d’intérêts politiques. Son objectif serait la recherche de profits.

• Le groupe cible en priorité les entreprises commerciales et épargne les hôpitaux et les entreprises du secteur social.

• Bien que seulement 6 victimes soient rapportées sur le blog de Mallox, le nombre de victimes se compte en milliers selon les dires du porte-parole.

• Selon lui, le principal problème des entreprises en matière de cybersécurité, c’est qu’elles sont incapables de tester la compétence du personnel informatique et qu’il n’existe pas de méthodologie pour tester les connaissances.

〰️ Dégustation 〰️

🏭 L’évolution de la cybersécurité industrielle

Depuis l’émergence de l’informatisation de l’entreprise et des outils de production, les technologies IT (en charge des informations et du système d’information) et OT (en charge des machines et du réseau industriel), ont évolué séparément en matière de cybersécurité. l’OT, bien que longtemps “épargné” face à l’IT, a vécu ses dernières années de profonds bouleversements cyber sous l’impulsion de 3 nouvelles tendances :

1 〰️ Dans l’espoir de devenir plus rentables, des environnements industriels, autrefois protégés, sont aujourd’hui exposés au web par les entreprises qui ressentent le besoin permanent de numériser leurs opérations.

2 〰️ Il y a quelques années, l’industrie était principalement victime de cyber attaques menées par des États-nations. Les seuls à disposer de ressources financières et technologiques nécessaires pour cibler des infrastructures critiques industrielles. Aujourd’hui, la cybercriminalité a largement évolué et les organisations cybercriminelles indépendantes sont désormais, au même titre que des États-nations, capables de causer des dommages considérables à des environnements industriels.

3 〰️ Les gouvernements ont mis en œuvre de nouvelles réglementations et ont pris conscience du rôle de plus en plus vital des secteurs industriels (énergie, transport, etc.) dans le cadre de leurs stratégies de cyberdéfense.

Pour mieux comprendre l’impact de ces 3 tendances sur l’industrie, OTORIO, un fournisseur de solutions et de services de cybersécurité industrielle, a interrogé 200 responsables de la cybersécurité et nous dévoile les principaux résultats de son enquête :

À retenir :

• 98% des personnes interrogées ont constaté une hausse des risques numériques et cyber pour leurs activités au cours des 3 dernières années.

• Les experts en cybersécurité des OT considèrent les attaques de la chaîne d'approvisionnement comme étant leur principale préoccupation.

• Avant la croissance et les cyberattaques, le besoin de conformité aux nouvelles réglementations est le principal moteur de la cybersécurité industrielle selon les décideurs chargés de garantir la sécurité des environnements de production.

• Les solutions de cybersécurité OT existantes, dont un grand nombre ne sont que des solutions informatiques modernisées, sont inadaptées.

〰️ Cul sec - La question 〰️

Quelles sont les techniques de cambrioleurs pour passer par la porte malgré les clés physiques ?

A. Passer par la fenêtre

B. Prendre une photo

C. Attendre que les occupants sortent

D. Rebooter son PC

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

⏪ Rewind - Le 19 janvier 2012, le département de la justice des États-Unis fermait Megaupload, l'un des plus importants sites de téléchargement des années 2000. Créé en 2005 par Kim Dotcom, Megaupload hébergeait 25 millions de giga-octets de fichiers et représentait 4% du traffic internet mondial au moment de sa fermeture.

👨🏻 Portrait - Kim Schmitz, alias Kim Dotcom est un Allemand extradé en Nouvelle Zélande depuis la fermeture de son site Megaupload. Depuis plus de 10 ans, Kim enchaine les recours auprès de la justice et refuse de se faire extrader aux États-Unis. La justice américaine l’accuse d’avoir détourné des millions de dollars, de fraude, de racket et de blanchiment d’argent. Il encourt jusqu’à vingt ans de prison.

⚖️ Évènement - Les inscriptions sont ouvertes pour le RootedCon 2023, l’un des plus grands évènements de cybersécurité d’Espagne. La conférence se tiendra à Madrid du 9 au 11 mars 2023.

〰️ Cul sec - Réponse 〰️

Réponses

La réponse B : prendre une photo.

Avec une simple photo de la clé, il est possible de la décoder pour mieux la reproduire en atelier. Maxime Beasse est un ingénieur, jeune diplômé de l’ESIEA. Il a créé KeyDecoder. Cette application mobile décode la clé.

Attention, il est bien plus facile de changer de mot de passe que de changer de clé ! Voici une nouvelle illustration de l’importance de protéger ses clés… physiques des regards indiscrets.

〰️ Digestif 〰️

Comment la cybersécurité impacte nos vies ?

À l’occasion de la traditionnelle réunion annuelle du Forum économique mondial 2023 (“Davos”), des experts expliquent leur vision de comment nous devrions collaborer pour rendre nos sociétés cyber-résilientes en 2023.

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

👉 On a besoin de ton soutien pour diffuser la culture de sécurité digitale. Rejoins les Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake ? Partage.

👇

“Shake it, don’t fake it“