24 mars

RansEaumware

Des chercheurs en sécurité ont créé LogicLocker, un logiciel malveillant capable de bloquer une station d’épuration d’eau dans le but d’extorquer des rançons. Ce type d’attaque serait la prochaine étape dans le domaine des ransomwares.

Les ransomwares cryptographiques, qui chiffrent les données des utilisateurs pour extorquer une rançon, vous font peur ? Alors attendez de voir les « ransomwares industriels », qui s’attaquent aux systèmes de contrôle des usines. Ils vous feront basculer en mode panique, car ils pourraient avoir des conséquences directes et néfastes sur notre environnement physique.

Pour l’instant, ce type de malware ne fait pas encore partie de l’arsenal des pirates, mais des chercheurs du Georgia Institute of Technology pensent que ce n’est qu’une question de temps, étant donné la faible sécurité des systèmes industriels.

Baptisé LogicLocker, ce malware est capable d’infecter l’automate programmable industriel (Programmable Logic Controller, PLC) qui régule la désinfection et le stockage de l’eau potable.

L’attaque consiste à extraire le code exécutable de l’appareil et de le remplacer par un code malveillant, puis de changer le mot de passe d’accès.

Ainsi, l’attaquant peut non seulement stopper le processus d’épuration, mais aussi empêcher les ingénieurs de réinstaller le code d’origine sur l’appareil. Le pirate peut alors envoyer aux responsables de la station d’épuration une demande de rançon doublée d’un ultimatum : s’ils ne payent pas au bout d’un certain temps, le code malveillant va surdoser le produit désinfectant et, du coup, rendre toute l’eau potable impropre à la consommation. Une fois la rançon payée, l’attaquant restitue le code volé.

Pour se protéger contre cette future menace, les chercheurs préconisent des stratégies de défense classiques, mais efficaces : protéger l’appareil avec un bon mot de passe et ne pas le connecter sur Internet, désactiver les protocoles inutiles, surveiller les flux réseaux, etc.

Après avoir chiffré les fichiers de l’ordinateur, ce malware augmente chaque heure le montant de la rançon et supprime définitivement une partie des données. Heureusement, des chercheurs en sécurité ont d’ores et déjà cassé le chiffrement.

Ambiance film d’horreur garantie avec « Jigsaw », le petit dernier dans la famille grandissante des ransomware. Diffusé au travers des sites de téléchargements ou par des sites pornos, ce malware chiffre les fichiers puis informe la victime qu’elle doit payer l’équivalent de 150 dollars en bitcoin pour récupérer la clé de déchiffrement.

Classique, me direz-vous. Là où la chose commence à devenir vicieux, c’est que le malware va progressivement augmenter la pression psychologique sur la victime.

A chaque heure qui passe, il va augmenter le montant de la rançon et – comble du sadisme – effacer définitivement une partie des données: quelques fichiers le premier jour, des centaines de fichiers le deuxième jour, des milliers le troisième jour, etc.

Au bout de 72 heures, tous les fichiers chiffrés seront effacés. Par ailleurs, la victime n’a pas le droit de redémarrer son ordinateur, sous peine de voir disparaître définitivement un millier de fichiers.

Tous ces messages sont accompagnés de la poupée Billy, le héros terrifiant de la série de films d’horreur « Saw« . Heureusement, il y a happy end cette fois-ci. En effet, des chercheurs en sécurité ont d’ores et déjà trouvé une méthode de déchiffrement. Elle est disponible sur le site BleepingComputers.com.

Pour ne pas être victime des ransomwares, le meilleur moyen est de faire régulièrement une sauvegarde de ses données sur un support de stockage externe. Ce dernier ne doit pas être connecté en permanence à l’ordinateur, car il existe des ransomwares qui sont capables dans ce cas de chiffrer également le disque de sauvegarde.

Ahmed Ben Taleb

ABOUT AUTHOR