Systèmes industriels : pas de lien entre les ransomwares Megacortex et Ekans selon Vitali Kremez

C’est tout début janvier que Vitali Krezmez, responsable des SentinelLabs de SentinelOne, a évoqué pour la première fois publiquement Ekans/Snake, un ransomware ciblé embarquant du code conçu pour interrompre des processus liés au contrôle de systèmes industriels (ICS/Scada). L’équipe MalwareHunterTeam l’avait préalablement remarqué à l’occasion de recherches sur les maliciels écrits en Go.

Dans un billet de blog, Dragos, spécialiste renommé de la sécurité des systèmes industriels, indique avoir « identifié une relation entre Ekans et le ransomware appelé Megacortex, qui contient également des caractéristiques spécifiques aux ICS ». Et cela porte sur la liste de processus à interrompre, qui renvoie à une variante de MegaCortex décrite par les équipes d’Accenture dans le courant de l’été dernier.

Les analystes de Dragos ne sont pas les seuls à avoir fait de telles observations. Alors que Vitali Kremez évoquait son analyse d’Ekans, Albert Zsigovits, chez Sophos, relevait également des ressemblances avec MegaCortex : « la liste noire d’extensions et la liste d’interruption de processus est quasiment identique à celle de MegaCortex (même ordre alphabétique, mais version raccourcie) ». Mais comme Dragos le relève de son côté, il ne faut compter qu’avec 64 processus visés par Ekans, contre plus d’un millier du côté de MegaCortex.

Pour Dragos, la conclusion est évidente : « Ekans représente une variante de ransomware maquillée, durcie, basée sur les activités antérieures de Megacortex ». Plus loin, dans son rapport, Dragos va même jusqu’à parler de ce dernier comme d’un « parent présumé » d’Ekans. Mais la formulation est peut-être un peu courte et maladroite.

Car dans un échange avec la rédaction, Vitali Kremez est clairement affirmatif : outre la liste de processus visés, « la variante de rançongiciel SNAKE [ou Ekans, N.D.L.R.] n’est pas liée à MegaCortex ». Pour lui, « le scénario le plus probable est que les développeurs du maliciel Snake ont simplement copié les processus visés de l’analyse publique du maliciel MegaCortex et les ont ajoutés à leur routine d’interruption de processus ».

Au passage, Vitali Kremez va plus loin, rappelant que « le rançongiciel MegaCortex a précédemment tiré profit de compromissions initiales par Emotet », et que « l’on pense qu’il appartient à une opération cyber-criminelle prolifique d’Europe de l’Est ». En définitive, Ekans/Snake « est un ransomware en Go plus récent, qui ne partage pas les mêmes tactiques, techniques et procédures que MegaCortex ».