Incident IT chez Honda : le ransomware Ekans suspecté

Honda vient d’indiquer rencontrer « un problème avec son système d’information ». Mais sans entrer dans les détails, le constructeur explique que l’incident « est en cours d’investigation, afin d’en comprendre la cause ». Et de préciser que la production et la commercialisation de ses véhicules ne sont pas affectées au Japon, mais qu’en revanche, en Europe, l’étendue de l’impact reste à évaluer pleinement. À nos confrères de Bloomberg, un porte-parole de Honda a affirmé enquêter pour savoir si son système d’information avait été attaqué. Mais le Telegrah évoque la piste d’une cyberattaque ayant conduit au déploiement du ransomware Ekans, aussi connu sous le nom de Snake.

De fait, VirusTotal recèle un échantillon de ce rançongiciel qui communique avec un système lié au nom de domaine de Honda, mds.honda.com. Dans une analyse sommaire de cet échantillon, Vitali Kremez, responsable des activités de recherche de SentinelOne, relève en outre une référence à une adresse IP attribuée à la filiale américaine du constructeur. De son côté, le chercheur Germán Fernández fait état d’un service RDP exposé sur un Internet par un système lié au nom de domaine honda.com. Et de s’interroger sur l’éventualité d’un lien.

Un autre chercheur, milkream, relève de son côté un second échantillon d’Ekans, ayant semble-t-il cette fois-ci visé l’italien Enel. Et là encore, Germán Fernández fait état d’un service RDP exposé sur Internet, même si aucun lien n’est établi. Nous avons adressé une demande de commentaires à l’énergéticien.

2020-06-08:#SNAKE/#EKANS #Ransomware |
Possible @Honda Lockdown Incident

RW References to Honda:
1⃣Honda ISP ("AHMC") IP "170.108.71. 153"
2⃣"MDS. HONDA. COM" Check

Source:
C:/Users/Admin3/go/src/.../<RAND>.go@malwrhunterteam @BleepinComputer pic.twitter.com/45vguO0Hnk

— Vitali Kremez (@VK_Intel) June 8, 2020

Vitali Kremez a évoqué publiquement le ransomware Ekans/Snake début janvier. L’équipe MalwareHunterTeam l’avait préalablement remarqué à l’occasion de recherches sur les maliciels écrits en Go. Ce ransomware ciblé embarque du code conçu pour interrompre des processus liés au contrôle industriel (ICS/Scada). Dragos et Sophos ont relevé des ressemblances avec MegaCortex. Mais début février, dans un échange avec la rédaction, Vitali Kremez réfutait tout lien de parenté : outre la liste de processus visés, « la variante de rançongiciel SNAKE [ou Ekans, N.D.L.R.] n’est pas liée à MegaCortex ». Pour lui, « le scénario le plus probable est que les développeurs du maliciel Snake ont simplement copié les processus visés de l’analyse publique du maliciel MegaCortex et les ont ajoutés à leur routine d’interruption de processus ».

MàJ 09/06/2020 @ 22h00 : un porte-parole d’Enel confirme que le groupe a « géré une attaque sur son système d’information, le dimanche 7 juin, commencée par une tentative de diffusion de ransomware. L’entreprise a immédiatement déclenché les procédures de réponse à incident en place, et conduit toutes les interventions nécessaires pour éliminer tout risque résiduel et garantir la continuité des activités ». Selon ce porte-parole, « tous les services IT internes ont été effectivement restaurés tôt lundi 8 juin au matin, en toute sécurité ». L’énergéticien assure de l’absence de problème critique pour ses systèmes de contrôle industriel – tant pour le réseau de distribution que pour la production – et qu’aucun tiers n’a eu accès à des données clients ».