Au total, sept familles de rançongiciels ciblent les processus associés aux logiciels de technologie opérationnelle (OT) et FireEye a publié cette semaine une analyse de ces logiciels malveillants.

De nombreuses familles de ransomwares sont conçues pour tuer certains types de processus en cours d’exécution. Ils peuvent cibler des produits de sécurité pour les empêcher de bloquer l’attaque et ils peuvent également mettre fin aux processus système critiques afin de pouvoir chiffrer les fichiers associés à ces applications dans le but de provoquer des perturbations, ce qui peut augmenter les chances des cybercriminels d’être payés par la victime .

Selon FireEye, il existe deux «listes de mise à mort de processus» principales qui incluent des logiciels industriels. L’un d’entre eux, qui cible plus de 1000 processus, est utilisé par six familles de ransomwares, dont SNAKE (SNAKEHOSE, EKANS), DoppelPaymer, LockerGoga, Maze, MegaCortex et Nefilim. La deuxième liste, qui cible 1 425 processus, n’a été utilisée que par le rançongiciel CLOP.

Alors que la première liste ne cible que quelques dizaines de processus ICS, principalement associés à la solution GE Proficy, la deuxième liste cible plus de 150 processus liés aux produits industriels, notamment Siemens SIMATIC WinCC, Beckhoff TwinCAT, le logiciel d’acquisition de données National Instruments, Kepware KEPServerEX et le protocole de communication OPC.

«Nous pensons qu’il est probable que ces listes soient le résultat d’une analyse fortuite des actifs dans les organisations de victimes et non d’un ciblage spécifique des ergothérapeutes», a expliqué FireEye. «Bien que ce jugement puisse initialement sembler une bonne nouvelle pour les défenseurs, cette activité indique toujours que de multiples acteurs de menace très prolifiques et financièrement motivés sont actifs au sein de l’OT des organisations – sur la base du contenu de ces listes de tueries de processus – dans le but de profiter de la rançon des informations volées et des services perturbés. »

Dans le cas de la première liste, qui aurait pu être …

Voir la source de cette publication