Ransomware : des questions sur le point d’entrée des assaillants chez Honda et Enel

Honda et Enel ont récemment reconnu avoir été visés par des cyberdélinquants. Très vite, deux échantillons du ransomware Ekans, aussi connu sous le nom de Snake, ont fait surface, laissant à penser que les opérateurs de celui-ci avaient effectivement cherché à piéger le constructeur automobile, d’une part, et l’énergéticien italien, d’autre part. Mais par où les assaillants ont-ils réussi à s’inviter, ne serait-ce que de manière relativement limitée, sur les systèmes d’information de ces deux cibles ?

Le chercheur Germán Fernández a très vite fait état d’un service RDP exposé sur un Internet par un système lié au nom de domaine honda.com, ainsi que d’un tel service… mais renvoyant à Enel. Et de s’interroger assez naturellement sur l’éventualité d’un lien entre ces services exposés directement en ligne, et les attaques conduites contre les deux groupes.

Mais une porte d’entrée potentielle a été relevée par Troy Mursch, de Bad Packets Report : des systèmes Citrix affectés par la vulnérabilité CVE-2019-19781, aussi appelée Shitrix. Sur Twitter, il indique qu’un « serveur VPN Citrix (NetScaler) utilisé par Honda » avait été identifié comme vulnérable lors de sa première campagne de balayage à la recherche de systèmes affectés. Et d’ajouter que cela valait également pour Enel. En outre, pour ce dernier, les systèmes concernés n’ont pas profité de l’application des correctifs « avant quelque part entre le 31 janvier et le 14 février 2020 ».

Vitali Kremez souligne que « les cyberdélinquants continuent la chasse aux passerelles VPN d’entreprise exploitables comme premier vecteur de brèche », et en particulier les systèmes Citrix/Netscaler affectés par la vulnérabilité CVE-2019-19781. En réponse, Troy Mursch rappelle avoir identifié plusieurs victimes de ransomwares ayant exposé de tels systèmes : Chubb, Conduent et Pitney Bowes, par Maze, mais aussi ISS World, par Ryuk, ou encore Bretagne Telecom, par DoppelPaymer.