Le rançongiciel « Snake », comme d’autres du genre, chiffre les programmes et les documents sur les machines infectées. Mais il supprime également toutes les copies de fichiers des stations infectées, empêchant les victimes de récupérer des fichiers chiffrés.

Shaked Reiner, Directeur de l’équipe de cyber recherches du labs de CyberArk commente :

« Snake est écrit en langage de programmation Golang et possède un niveau d’obfuscation – c’est-à-dire qu’il brouille les codes ou les fichiers sur les machines ciblées. Ainsi, après avoir infecté un appareil, Snake lance le processus d’un rançongiciel habituel, comme la suppression des copies masquées et des sauvegardes du système et le chiffrement des fichiers utilisateur. Il faut noter que Snake chiffre ensuite de nombreux types de fichiers, y compris les fichiers exécutables, à l’exclusion de tous les emplacements du système d’exploitation comme windir, ou encore programdata.

Ce qui différencie Snake est qu’il détruit tous les processus du système liés aux ICS et SCADA afin de pouvoir chiffrer leurs fichiers. Les chercheurs d’Otorio pensent que l’attaque vise la compagnie nationale de pétrole de Barheïn, BAPCO (Bahrain Petroleum Co.), en partie parce qu’elle est mentionnée dans la demande de rançon que Snake laisse sur un système infecté. Selon Otorio, la suppression ou le verrouillage de processus ICS ciblés empêcherait les équipes d’accéder à des processus d’importance vitale liés à la production, tels que l’analyse, la configuration et le contrôle. En dehors de cela, Snake n’est pas techniquement avancé et CyberArk Labs l’a testé pour montrer qu’il peut être modéré par une sécurité efficace de gestion des privilèges des terminaux. »