top of page

Un constructeur allemand toujours en panne une semaine après avoir été touché par un ransomware

Un constructeur allemand toujours en panne une semaine après avoir été touché par un ransomware

Pilz, l’un des plus grands producteurs d’automates au monde, est en panne depuis plus d’une semaine après avoir été victime d’une infection par ransomware.

“Depuis le dimanche 13 octobre 2019, tous les serveurs et postes de travail PC, y compris la communication de la société, sont affectés dans le monde entier”, écrit la société basée en Allemagne sur son site web.

“Par précaution, la société a déconnecté tous les systèmes informatiques du réseau et bloqué l’accès au réseau de l’entreprise.”

Tous les sites de la société dans 76 pays ont été touchés et ont été déconnectés du réseau principal, sans possibilité de classer les commandes et de vérifier le statut des clients. Il a fallu trois jours au personnel de Pilz pour retrouver l’accès à son service de messagerie et trois autres jours pour rétablir le service de messagerie pour ses sites internationaux. L’accès aux commandes de produits et au système de livraison n’a été rétabli qu’hier.

Les capacités de production n’ont pas été touchées, mais en l’absence d’un système de commandes fiable, elles ont été ralenties.

BitPaymer à l’ouvrage

Maarten van Dantzig, analyste principal du renseignement chez FoxIT, a déclaré aujourd’hui à ZDNet que l’entreprise allemande est la dernière d’une longue lignée de victimes de BitPaymer.

Van Dantzig a pu associer l’infection de Pilz à BitPaymer après avoir trouvé et analysé un échantillon de BitPaymer téléchargé sur VirusTotal. L’échantillon contenait une note de rançon avec les coordonnées de Pilz, personnalisées pour le réseau de l’entreprise.

BitPaymer est une souche de ransomware apparue à l’été 2017 qui a été impliqué dans plusieurs incidents très médiatisés dans des hôpitaux écossais, la Professional Golfers Association, deux villes de l’Alaska (Matanuska-Susitna et Valdez), Arizona Beverages, lors d’attaques exploitant la faille 0day d’iTunes et plus récemment à la chaîne de télévision M6.

Mais BitPaymer n’est pas une souche de ransomware habituelle. Les auteurs de BitPaymer se spécialisent dans ce qu’on appelle “la chasse au gros gibier”, un terme inventé par Crowdstrike pour décrire les groupes d’attaquants visant des cibles de grande valeur, dans l’espoir de percevoir une rançon importante, au lieu d’extorquer les particuliers.

Le partenariat Dridex

Au cours des deux dernières années, BitPaymer a été distribué exclusivement via le botnet Dridex, a déclaré van Dantzig à ZDNet.

Un rapport d’ESET datant de janvier 2018 affirmait que le logiciel ransomware était l’œuvre des auteurs Dridex eux-mêmes.

Actuellement, la plupart des experts pensent que le groupe Dridex s’active principalement à envoyer des spams qui infectent les utilisateurs avec le trojan Dridex, à dresser une liste des victimes, puis à déployer BitPaymer sur les réseaux de grandes entreprises, dans l’espoir d’extraire d’énormes rançons après le chiffrement de leurs fichiers.

Historiquement, cette tactique a été assez lucrative : BitPaymer a procédé à des demandes de rançons allant jusqu’à 1 million de dollars, a déclaré Van Dantzig à ZDNet hier dans un appel téléphonique.

Ce modèle de partenariat de botnet-ransomware est extrêmement populaire de nos jours chez les cybercriminels. Une “relation de travail” similaire existe également entre les opérateurs des réseaux botnet Emotet et TrickBot et les opérateurs du ransomware Ryuk.

Un regain d’activité depuis avril

Vous pouvez facilement voir le modus operandi de BitPaymer dans le tableau ci-dessous, qui rassemble les contributions faites sur ID-Ransomware, un service en ligne sponsorisé par MalwareHunterTeam et Emsisoft où les victimes de ransomware peuvent télécharger des échantillons et déterminer la souche de ransomware qui les vise.

La plupart des tableaux d’activité d’ID-Ransomware pressentent des courbes lisses, car il y a des contributions quotidiennes de victimes qui sont infectées après avoir ouvert des courriels ou installé des fichiers infectés par un ransomware.


Cependant, pour BitPaymer, les graphiques sont différents. Les pics présentent des infections occasionnelles, car le logiciel de ransomware est déployé sur une poignée de cibles soigneusement sélectionnées, plutôt que diffusé dans toutes les directions. Ce modèle est spécifique aux opérations de ransomware “de chasse au gros gibier”.

Selon M. Van Dantzig, les entreprises doivent comprendre qu’une fois leur infection BitPaymer guérie, leur travail n’est pas terminé. Les administrateurs système doivent également supprimer le cheval de Troie Dridex des hôtes infectés, sinon ils seront réinfectés à nouveau. Van Dantzig a déjà vu ce type de scénario se produire.

NDLR : L’Anssi a egalement publié hier un rapport détaillé portant sur les activités du groupe “BitPaymer” (aussi connu sous les noms de FriedEx et IEncrypt). La publication est disponible à cette adresse

Pilz n’était pas immédiatement disponible pour commenter au moment de la publication.

0 vue0 commentaire

Comments


bottom of page