Internet Industriel des Objets IIOT : Advantech Hit par Ransomware

Advantech, spécialiste du processeur industriel et du matériel, a été touché par un ransomware. Qui est Advantech? Quel est le ransomware qui les a attaqués et comment le paysage des malwares évolue-t-il?
Qui est Advantech?
Advantech est une société de technologie industrielle créée en 1983 et qui a initialement travaillé sur l'utilisation de l'architecture PC dans des environnements industriels. En 1990, Advantech a présenté son premier PC industriel, l'IPC-600, et depuis lors, a continué à développer des PC industriels ainsi que d'autres technologies autour de l'automatisation.
Avance rapide jusqu'en 2020, et Advantech possède des bureaux dans le monde entier, plus de 7 000 employés et l'une des plus grandes parts de marché des PC industriels. Cependant, leur concentration sur l'automatisation se dirige maintenant vers le Big Data et l'IoT pour une utilisation dans des systèmes avancés d'IA et de ML qui peuvent améliorer les processus au fil du temps et fournir une maintenance et une planification prédictives.

Advantech Hit par Ransomware
L'une des plus grandes préoccupations des applications IoT et IIoT est la sécurité; Les cybercriminels peuvent utiliser des données sensibles à leurs propres fins, et la capacité de contrôler les appareils à distance permet des attaques DoS coordonnées, le crypto mining et le craquage de mots de passe. Par conséquent, toute entreprise produisant des dispositifs et des systèmes IoT et IIoT, comme Advantech, reconnaîtrait l'importance de pratiques de sécurité strictes.
Cependant, Advantech lui-même vient d'être signalé comme étant la dernière victime d'un ransomware. Selon un ordinateur qui sonne, des pirates ont attaqué le réseau d’entreprise d’Advantech et ont récupéré des informations confidentielles ayant une valeur commerciale. Les pirates ont déjà publié 3 Go de ces données sensibles pour prouver leur capacité, et ont même permis à Advantech de déchiffrer deux fichiers pour prouver que leurs systèmes de décryptage fonctionnent.
Le groupe qui a revendiqué l'attaque est Conti et a demandé une rançon totale de 750 bitcoins, soit environ 12 millions de dollars (décembre 2020). L'utilisation de bitcoins permet aux attaquants de cacher leur identité et leurs informations personnelles tout en pouvant recevoir une devise qui peut être facilement échangée contre de l'argent (comme l'USD et le GBP).
Le ransomware utilisé par Conti partage un code commun avec le très tristement célèbre ransomware Ryuk, un programme de ransomware développé par un groupe russe qui a pu obtenir plus de 34 millions de dollars d'une seule victime, et plus de 150 millions de dollars au total en 2018. Le Conti Le système a la capacité d'effectuer un cryptage rapide, une anti-analyse et une exécution directe tout en étant capable de faire fonctionner jusqu'à 32 threads CPU simultanés. Cela rend le ransomware extrêmement rapide et difficile à repérer avant que le malware ne l'endommage.
Une fois sur un système, Conti peut supprimer la copie Windows Shadow Volume, arrête les applications qui verrouillent les fichiers, désactive les services Windows, puis crypte des disques durs entiers. À partir de là, il est également capable d'attaquer et de crypter d'autres appareils sur le même réseau, d'utiliser des clés de cryptage AES-256 pour chaque fichier, puis de regrouper toutes les clés qui sont ensuite cryptées avec une clé publique RSA-4096.
Comment le paysage des malwares évolue-t-il?
Alors que les logiciels malveillants existent depuis aussi longtemps que les ordinateurs sont devenus accessibles à ceux qui sont mécontents, la nature des logiciels malveillants évolue maintenant pour créer un environnement plus menaçant. Historiquement, le logiciel malveillant était généralement utilisé soit pour causer des ravages en supprimant des fichiers et en corrompant des systèmes, soit pour fournir une porte dérobée permettant aux attaquants de voler des informations personnelles.
Cependant, l'utilisation de ransomwares montre comment les cybercriminels peuvent tirer parti de la technologie même qui les empêche d'obtenir des informations personnelles; chiffrement. Lorsqu'un message est envoyé via Internet, il est plus souvent crypté que non, ce qui empêche une attaque de type "man-in-the-middle". Cependant, étant donné que le chiffrement peut rendre presque impossible la récupération d'un message sans la clé, les attaquants exploitent maintenant cette propriété pour chiffrer des données précieuses.
Mais au lieu de cibler simplement des utilisateurs individuels, l'utilisation de Conti contre Advantech montre que les attaquants ciblent désormais les grandes coopérations. Ceci, combiné à l'introduction des crypto-monnaies, fournit aux attaquants une attaque plus rationalisée qui peut être correctement planifiée, gérée et minimiser les risques. En outre, attaquer de grandes entreprises offre des gains potentiellement plus importants. Si la taille de la rançon est soigneusement choisie, un attaquant peut presque garantir une attaque réussie avec une grande récompense par rapport à l'effort et au temps nécessaires.
Lire la suite

Laisser un commentaire