Ransomware : ce qu’on sait de l’attaque contre Honda

Honda ransomware EKANS

Le ransomware EKANS, qui cible les systèmes de contrôle industriels, semble avoir accroché Honda à son tableau de chasse. Avec quelles conséquences ?

Honda, victime d’un ransomware ? Le groupe automobile se refuse pour le moment à confirmer l’information.

Sa communication officielle fait état d’un « incident » sur le réseau informatique constaté dimanche 7 juin. Avec, pour conséquences, une « perte de connectivité » et la suspension d’une partie de la production.
Aux dernières nouvelles, l’activité aurait repris dans la plupart des usines.

Au-delà du discours de façade, il y a celui qui circule en interne. Et la teneur n’est pas la même.

Illustration avec un message d’un membre du département IT de la filiale américaine. Il y est clairement question d’un ransomware qui a touché « au minimum » le SI de cette région géographique. Bilan annoncé : des accès indésirables à des données critiques et l’impossibilité de poursuivre les opérations sur la majorité des lignes de production.

Un ransomware spécial ICS…

Quel ransomware a frappé ? Plusieurs éléments suggèrent qu’il s’agit d’une variante de SNAKE.

On l’appelle aussi EKANS, notamment en référence à une étiquette attribuée aux fichiers qu’il chiffre. Ses premières traces remontent à fin 2019.

Sa principale caractéristique est de cibler les systèmes de contrôle industriels (ICS).

En témoigne la liste des processus logiciels dont il est capable de forcer la fermeture*.
Outre des solutions de sécurité comme Microsoft System Center et de sauvegarde tel IBM Tivoli, on y trouve des outils de gestion industrielle signés General Electric, Sentinel ou encore ThingWorx.

… et spécial Honda

L’une des dernières victimes déclarées d’EKANS est le groupe allemand de soins de santé Fresenius. Une version spécifique du ransomware l’a ciblé. Elle ne s’exécutait en l’occurrence qu’à condition d’être parvenue à contacter l’hôte ads.fresenius.com.

Il semble être arrivé la même chose à Honda, avec une variante d’EKANS calibrée pour ne commettre son forfait qu’après avoir atteint mds.honda.com.

L'infection s'est peut-être faite par l'intermédiaire de connexions RDP. Plusieurs machines sur le réseau de Honda étaient exposées au réseau internet via cette interface. On a pu constater la même chose chez Edesur, filiale du groupe énergétique Enel Argentina... frappé par une attaque similaire.

EKANS a un fonctionnement plus « classique » côté chiffrement. Il mêle toutefois clés symétriques (AES-256) et asymétriques (RSA-2048) pour compliquer la récupération des fichiers. Il tente par ailleurs de s'attaquer aux ressources réseau et de supprimer les éventuels backups Windows (Shadow Copies).

Comment s'en protéger ? Au niveau du réseau, on peut identifier les transferts de fichiers inconnus depuis les SI d'entreprise vers les SI industriels. Tout en pensant à maintenir des conserver des sauvegardes hors ligne.
À même les systèmes industriels, on peut bloquer les exécutables inconnus ou issus de sources non vérifiées. Et faire en sorte de pouvoir identifier, au niveau du dispositif de journalisation, les cas où la communication s'interrompt simultanément sur plusieurs points de terminaison.

WannaCry avait déjà frappé

Les effets sur l'activité de Honda sont difficiles à cerner.

En Amérique du Nord, la production aura été particulièrement affectée au moins dans l'Ohio.

Ailleurs dans le monde, il est question d'interruptions en Turquie (voitures), ainsi qu'en Inde et en Amérique du Sud (motos). Mais aussi en Italie et au Royaume-Uni, où la réouverture d'une usine après la crise Covid a été reportée.

Honda avait déjà été victime (à retardement) de WannaCry, en 2017. Cette attaque lui avait valu la fermeture temporaire d'une usine au Japon.

À l'été 2019, on avait découvert une base de données non sécurisée contenant des informations sur quelque 300 000 collaborateurs du groupe. S'y trouvaient aussi des détails sur le SI, dont un tableau récapitulant les machines non protégées par une solution de sécurité. Une aide précieuse pour des cybercriminels.

* L'intégralité des processus figurent dans une liste associée à une autre famille de ransomwares découverte l'an dernier : Megacortex. Ce qui laisse penser à une filiation.

Illustration principale © Honda