Ransomware : Les pirates passent à l’attaque des systèmes de contrôle industriels
Les attaques par ransomware visent de plus en plus les systèmes de contrôle industriel existants, une raison de plus de faire davantage pour sécuriser les réseaux des installations industrielles contre l’augmentation de la menace. Selon un rapport des chercheurs en cybersécurité de Trend Micro, les ransomwares constituent désormais « une menace préoccupante et en évolution rapide pour les terminaux des systèmes de contrôle industriel dans le monde », avec une augmentation significative de l’activité au cours de l’année dernière.
Le motif des attaques par ransomware est simple : gagner de l’argent. Les cybercriminels savent qu’en frappant les systèmes de contrôle industriel utilisés pour faire fonctionner les usines et les environnements de fabrication, qui dépendent d’un temps de fonctionnement constant, ils ont de bonnes chances d’être payés. Ces réseaux, et ceux qui soutiennent les services publics tels que l’eau et l’électricité sont de plus en plus dans la ligne de mire des pirates, du fait de leur place critique pour la société.
« L’économie souterraine de la cybercriminalité est un marché important pour les opérateurs de ransomware et leurs affiliés. Les systèmes de contrôle industriel que l’on trouve dans les infrastructures nationales critiques, les usines et autres installations sont considérés comme des cibles faciles, car de nombreux systèmes fonctionnent encore avec des systèmes d’exploitation anciens et des applications non corrigées. Toute infection de ces systèmes entraînera très probablement des jours, voire des semaines, de panne », fait savoir Bharat Mistry, directeur technique chez Trend Micro.
Une cible facile
Des exemples récents de campagnes de ransomware réussies, comme l’attaque contre le transformateur de viande JBS, montrent à quel point les rançongiciels peuvent être lucratifs, les cybercriminels utilisant le ransomware REvil ayant pu s’emparer de 11 millions de dollars en bitcoins. Quant à la cyberattaque contre Colonial Pipeline, elle a démontré qu’une attaque par ransomware contre une cible industrielle peut avoir des conséquences très concrètes pour la population, puisque l’approvisionnement en essence d’une grande partie du Nord-Est des Etats-Unis a été limité à cause de l’attaque.
Les cybercriminels utilisent de nombreuses formes différentes de ransomware pour cibler les systèmes de contrôle industriels, mais quatre familles de ransomware sont à l’origine de plus de la moitié de ces attaques. Il s’agit de Ryuk, qui représente à lui seul une attaque de ransomware sur cinq touchant les systèmes de contrôle industriel, de Nefilm, de REvil (également connu sous le nom de Sodinokibi) et de LockBit. Selon le rapport, les Etats-Unis sont le pays qui compte le plus de cas de ransomwares affectant les SCI, suivis par l’Inde, Taïwan et l’Espagne.
Pour aider à sécuriser les terminaux des systèmes de contrôle industriel contre les ransomwares et autres cyberattaques, le rapport de Trend Micro propose plusieurs recommandations. Il s’agit notamment d’appliquer les mises à jour de sécurité aux systèmes – un processus « fastidieux » mais nécessaire, comme le reconnaît le rapport. En veillant à ce que les réseaux soient protégés par les dernières mises à jour de sécurité, les cybercriminels ne peuvent pas exploiter les vulnérabilités connues contre lesquelles il est possible de se protéger.
Si l’application de correctifs n’est pas possible, le réseau doit être segmenté, afin de séparer les systèmes de contrôle industriel vulnérables des systèmes connectés à internet. Il est également recommandé de sécuriser les réseaux des systèmes de contrôle industriel à l’aide de combinaisons de noms d’utilisateur et de mots de passe solides, difficiles à craquer par des attaques par force brute. L’application d’une authentification multifactorielle sur le réseau peut également contribuer à le sécuriser contre les intrusions non autorisées.
Source : ZDNet.com
