Comment les solutions de Cybelius permettent de contrer ce nouveau malware qui s’attaque aux systèmes industriels ?

Ce ransomware a été soumis pour une première analyse sur Virustotal le 26 décembre 2019. De nombreuses variantes ont été observées par la suite, dans différents systèmes. Codée en GO (langage de programmation) cette attaque est assez classique, avec comme particularité de cibler spécifiquement des applications industrielles.

 

EKANS                                                                                                                             

EKANS est un ransomware qui chiffre les fichiers de la victime en échange d’une rançon, il embarque cependant des fonctionnalités spécifiques aux systèmes industriels. En effet, EKANS cible 64 logiciels spécifiques aux milieux industriels. On trouve notamment des produits GE Fanuc, Honeywell, mais aussi Microsoft et VMware.

 

Des origines controversées

L’origine du malware est encore floue, avec plusieurs explications qui ont été pour l’instant démenti. En effet Dragos a affirmé que ce ransomware est lié avec un second nommé MegaCortex. Cette affirmation a ensuite été démenti par le chercheur en cybersécurité, Vitali Kremez.

 

Comment éviter ces attaques ? Nos experts Cybelius proposent trois solutions
  • L’évaluation de sécurité du système industriel

La connaissance de son système ICS est primordiale pour connaitre les actifs qui sont critiques et les vulnérabilités.

Cybelius propose dans son offre une Evaluation de sécurité, dont une des composantes (le Diagnostic Technique) permet d’identifier les vulnérabilités des systèmes. EKANS n’exploite a priori pas de faille 0-day, ce qui signifie que l’analyse amont par Cybelius aurait identifié les mises à jour de sécurité manquantes. Ainsi, la prestation de Cybelius permet de se protéger contre ce type d’attaque.

 

  • CyFENCE : la sécurisation du système industriel

CyFENCE est une DMZ qui filtre fortement les échanges d’un ICS avec l’extérieur. Il va empêcher le ransomware EKANS de se propager dans le réseau industriel grâce à la segmentation et le filtrage des flux, assuré par deux étages de pare-feu de technologie différente.

Le serveur antivirus de CyFENCE est maintenu en permanence à jour, et dans ce cas la signature EKANS est connue dès sa diffusion le 26 Décembre. CyFENCE va ainsi rapidement détecter l’attaque depuis la partie IT et empêcher sa propagation vers l’ICS. Il va également remonter les évènements au SIEM, et ainsi déclencher la chaine de réaction dès la première tentative d’intrusion du virus.

Le CyFENCE apporte également la sauvegarde des équipements du réseau, ce qui permet de restaurer rapidement les machines compromises.

 

  • CyPRES : la surveillance sécurité en temps réel

CyPRES est une sonde qui analyse les flux réseaux et détecte des écarts de patterns entre conversations. Dans le cas de ce ransomware, s’il contamine directement une machine (via clé USB par exemple), CyPRES va détecter immédiatement les perturbations d’émission de la machine contaminée et va alerter les différents acteurs de la chaine d’alerte, directement ou via le SIEM.

A noter, si un virus utilise une faille 0-day qui échappe de ce fait aux anti-virus, la détection par CyPRES qui ne dépend que du comportement va fonctionner avec la même efficacité.

De plus, CyPRES enregistre les flux réseaux suspects, c’est-à-dire en écart avec les patterns usuels. Ces enregistrements ont une valeur importante pour les analyses post-incident.

 

 

N’attendez donc plus pour protéger votre système industriel.

 


1 Comment

OneMore · 7 février 2020 at 15 h 14 min

Super article !

Répondre à OneMore Annuler la réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *