Honda, victime d’un ransomware ? Le groupe automobile se refuse pour le moment à confirmer l’information.
Sa communication officielle fait état d’un « incident » sur le réseau informatique constaté dimanche 7 juin. Avec, pour conséquences, une « perte de connectivité » et la suspension d’une partie de la production.
Aux dernières nouvelles, l’activité aurait repris dans la plupart des usines.
Au-delà du discours de façade, il y a celui qui circule en interne. Et la teneur n’est pas la même.
Illustration avec un message d’un membre du département IT de la filiale américaine. Il y est clairement question d’un ransomware qui a touché « au minimum » le SI de cette région géographique. Bilan annoncé : des accès indésirables à des données critiques et l’impossibilité de poursuivre les opérations sur la majorité des lignes de production.
Quel ransomware a frappé ? Plusieurs éléments suggèrent qu’il s’agit d’une variante de SNAKE.
On l’appelle aussi EKANS, notamment en référence à une étiquette attribuée aux fichiers qu’il chiffre. Ses premières traces remontent à fin 2019.
https://twitter.com/VK_Intel/status/1215196590165647360?ref_src=twsrc%5Etfw » rel= »nofollow
Sa principale caractéristique est de cibler les systèmes de contrôle industriels (ICS).
En témoigne la liste des processus logiciels dont il est capable de forcer la fermeture*.
Outre des solutions de sécurité comme Microsoft System Center et de sauvegarde tel IBM Tivoli, on y trouve des outils de gestion industrielle signés General Electric, Sentinel ou encore ThingWorx.
L’une des dernières victimes déclarées d’EKANS est le groupe allemand de soins de santé Fresenius. Une version spécifique du ransomware l’a ciblé. Elle ne s’exécutait en l’occurrence qu’à condition d’être parvenue à contacter l’hôte ads.fresenius.com.
Il semble être arrivé la même chose à Honda, avec une variante d’EKANS calibrée pour ne commettre son forfait qu’après avoir atteint mds.honda.com.
https://twitter.com/milkr3am/status/1270019326976786432?ref_src=twsrc%5Etfw » rel= »nofollow
L’infection s’est peut-être faite par l’intermédiaire de connexions RDP. Plusieurs machines sur le réseau de Honda étaient exposées au réseau internet via cette interface. On a pu constater la même chose chez Edesur, filiale du groupe énergétique Enel Argentina… frappé par une attaque similaire.
https://twitter.com/1ZRR4H/status/1270066266137559042?ref_src=twsrc%5Etfw » rel= »nofollow
EKANS a un fonctionnement plus « classique » côté chiffrement. Il mêle toutefois clés symétriques (AES-256) et asymétriques (RSA-2048) pour compliquer la récupération des fichiers. Il tente par ailleurs de s’attaquer aux ressources réseau et de supprimer les éventuels backups Windows (Shadow Copies).
Comment s’en protéger ? Au niveau du réseau, on peut identifier les transferts de fichiers inconnus depuis les SI d’entreprise vers les SI industriels. Tout en pensant à maintenir des conserver des sauvegardes hors ligne.
À même les systèmes industriels, on peut bloquer les exécutables inconnus ou issus de sources non vérifiées. Et faire en sorte de pouvoir identifier, au niveau du dispositif de journalisation, les cas où la communication s’interrompt simultanément sur plusieurs points de terminaison.
Les effets sur l’activité de Honda sont difficiles à cerner.
En Amérique du Nord, la production aura été particulièrement affectée au moins dans l’Ohio.
Ailleurs dans le monde, il est question d’interruptions en Turquie (voitures), ainsi qu’en Inde et en Amérique du Sud (motos). Mais aussi en Italie et au Royaume-Uni, où la réouverture d’une usine après la crise Covid a été reportée.
Honda avait déjà été victime (à retardement) de WannaCry, en 2017. Cette attaque lui avait valu la fermeture temporaire d’une usine au Japon.
À l’été 2019, on avait découvert une base de données non sécurisée contenant des informations sur quelque 300 000 collaborateurs du groupe. S’y trouvaient aussi des détails sur le SI, dont un tableau récapitulant les machines non protégées par une solution de sécurité. Une aide précieuse pour des cybercriminels.
* L’intégralité des processus figurent dans une liste associée à une autre famille de ransomwares découverte l’an dernier : Megacortex. Ce qui laisse penser à une filiation.
Illustration principale © Honda
Un temps pressenti pour constituer le socle d'une suite bureautique AWS, Amazon WorkDocs arrivera en…
Eviden regroupe cinq familles de serveurs sous la marque BullSequana AI. Et affiche le supercalculateur…
Le dernier Magic Quadrant du SSE (Secure Service Edge) dénote des tarifications et des modèles…
Formats de paramètres, méthodes d'apprentissage, mutualisation GPU... Voici quelques-unes des recommandations de l'ANSSI sur l'IA…
À la grogne des partenaires VMware, Broadcom répond par diverses concessions.
iPadOS a une position suffisamment influente pour être soumis au DMA, estime la Commission européenne.