1 extorsion par ransomware sur 7 expose probablement des documents OT sensibles

janvier 2022 par David Grout, Chief Technology Officer, EMEA de Mandiant

Les chercheurs Mandiant ont collecté et analysé de manière proactive les extorsions de données que les adeptes des ransomwares ont collectés et extorqués lors de tentatives d’extorsion, puis annoncés dans divers forums de hackers sur le dark web. À partir d’un échantillon aléatoire de 70 fuites, les chercheurs ont constaté qu’une fuite sur sept exposait des informations sensibles sur les systèmes d’exploitation d’entreprises appartenant à des secteurs qui utilisent généralement des systèmes d’exploitation pour la production (par exemple, le pétrole et le gaz, le transport, etc.).

Après des mois de collecte et d’analyse de téraoctets de données publiées sur le dark web et volées lors d’attaques d’extorsion par ransomware, les experts de Mandiant ont découvert qu’environ 1 fuite sur 7 provenant d’organisations industrielles est susceptible d’exposer de la documentation OT sensible.

Parmi les résultats notables de leur analyse d’environ 70 fuites, on peut citer :

· Les informations d’identification de l’administrateur du mot de passe d’un FEO (Fabricant d’équipement d’origine) ; les sauvegardes des fichiers de projet PLC (Contrôleur logique programmable) du portail TIA de Siemens... d’un fabricant de trains industriels et de passagers.

· Une liste de noms, d’adresses électroniques, de privilèges d’utilisateurs et de certains mots de passe d’employés des services informatiques, de maintenance et d’exploitation d’un producteur d’énergie hydroélectrique.

· Une documentation approfondie du réseau et des process, y compris des diagrammes, le système d’identification des matières dangereuses (HMIS), des feuilles de calcul, etc. de deux organisations pétrolières et gazières.

Étant donné que les hackers annoncent généralement les nouvelles fuites et les publient dans des forums de pirates ou sur les médias sociaux, toute personne ayant accès à un navigateur Tor peut visiter ces sites et télécharger les données disponibles, ce qui rend l’impact de ces fuites potentiellement préjudiciable aux organisations pour les années à venir et difficile à suivre.

Comme le notent les chercheurs de Mandiant, « même si les données OT exposées sont relativement anciennes, la durée de vie typique des systèmes physiques cybernétiques est de vingt à trente ans, ce qui fait que les fuites sont impactantes durant des décennies - bien plus longtemps que les informations exposées sur l’infrastructure informatique. »

« Les réseaux industriels sont bien souvent connecté d’une manière ou une autre avec l’IT ce qui explique que les opérateurs d’extorsions aient autant d’information sur les environnements OT. L’impact potentiel de ce type de fuites sur le maintien en condition opérationnelle de certains industriels et réel et nécessitent donc une mise en place de parades adéquates de la part du marché » nous confirme David Grout CTO EMEA Mandiant.