Kara - Fotolia
Incident IT chez Honda : le ransomware Ekans suspecté
Le constructeur automobile reconnaît un incident informatique survenu ce lundi 8 juin, sans en préciser la nature. Mais un échantillon du rançongiciel Ekans semble avoir été taillé sur mesure pour le groupe japonais. Un second semble avoir été visé : Enel.
Honda vient d’indiquer rencontrer « un problème avec son système d’information ». Mais sans entrer dans les détails, le constructeur explique que l’incident « est en cours d’investigation, afin d’en comprendre la cause ». Et de préciser que la production et la commercialisation de ses véhicules ne sont pas affectées au Japon, mais qu’en revanche, en Europe, l’étendue de l’impact reste à évaluer pleinement. À nos confrères de Bloomberg, un porte-parole de Honda a affirmé enquêter pour savoir si son système d’information avait été attaqué. Mais le Telegrah évoque la piste d’une cyberattaque ayant conduit au déploiement du ransomware Ekans, aussi connu sous le nom de Snake.
De fait, VirusTotal recèle un échantillon de ce rançongiciel qui communique avec un système lié au nom de domaine de Honda, mds.honda.com. Dans une analyse sommaire de cet échantillon, Vitali Kremez, responsable des activités de recherche de SentinelOne, relève en outre une référence à une adresse IP attribuée à la filiale américaine du constructeur. De son côté, le chercheur Germán Fernández fait état d’un service RDP exposé sur un Internet par un système lié au nom de domaine honda.com. Et de s’interroger sur l’éventualité d’un lien.
Un autre chercheur, milkream, relève de son côté un second échantillon d’Ekans, ayant semble-t-il cette fois-ci visé l’italien Enel. Et là encore, Germán Fernández fait état d’un service RDP exposé sur Internet, même si aucun lien n’est établi. Nous avons adressé une demande de commentaires à l’énergéticien.
2020-06-08:#SNAKE/#EKANS #Ransomware |
— Vitali Kremez (@VK_Intel) June 8, 2020
Possible @Honda Lockdown Incident
RW References to Honda:
1⃣Honda ISP ("AHMC") IP "170.108.71. 153"
2⃣"MDS. HONDA. COM" Check
Source:
C:/Users/Admin3/go/src/.../<RAND>.go@malwrhunterteam @BleepinComputer pic.twitter.com/45vguO0Hnk
Vitali Kremez a évoqué publiquement le ransomware Ekans/Snake début janvier. L’équipe MalwareHunterTeam l’avait préalablement remarqué à l’occasion de recherches sur les maliciels écrits en Go. Ce ransomware ciblé embarque du code conçu pour interrompre des processus liés au contrôle industriel (ICS/Scada). Dragos et Sophos ont relevé des ressemblances avec MegaCortex. Mais début février, dans un échange avec la rédaction, Vitali Kremez réfutait tout lien de parenté : outre la liste de processus visés, « la variante de rançongiciel SNAKE [ou Ekans, N.D.L.R.] n’est pas liée à MegaCortex ». Pour lui, « le scénario le plus probable est que les développeurs du maliciel Snake ont simplement copié les processus visés de l’analyse publique du maliciel MegaCortex et les ont ajoutés à leur routine d’interruption de processus ».
MàJ 09/06/2020 @ 22h00 : un porte-parole d’Enel confirme que le groupe a « géré une attaque sur son système d’information, le dimanche 7 juin, commencée par une tentative de diffusion de ransomware. L’entreprise a immédiatement déclenché les procédures de réponse à incident en place, et conduit toutes les interventions nécessaires pour éliminer tout risque résiduel et garantir la continuité des activités ». Selon ce porte-parole, « tous les services IT internes ont été effectivement restaurés tôt lundi 8 juin au matin, en toute sécurité ». L’énergéticien assure de l’absence de problème critique pour ses systèmes de contrôle industriel – tant pour le réseau de distribution que pour la production – et qu’aucun tiers n’a eu accès à des données clients ».