Le rançongiciel Ryuk entraîne plus de 30 heures d’interruption d’activité pour un acteur du monde maritime

Le site Internet des gardes-côtes américains (impliqués dans le cyberespace, comme évoqué dans cet article) nous l’apprend : un opérateur du monde maritime américain a été impacté par le rançongiciel “Ryuk”. Ce code malveillant n’est pas un inconnu, puisqu’il a fait se premières apparitions à l’été 2018 et a déjà touché de nombreuses sociétés, comme Eurofins à l’été 2019 ou Prosegur plus récemment. Comme le précise la société CheckPoint, ce n’est pas un code malveillant techniquement très avancé, mais il a la particularité de viser les grandes entreprises et organisations qui disposent de moyens financiers importants et qui préfèrent parfois payer une rançon (ce n’est pas bien, et ça ne fonctionne pas toujours bien, notamment dans le cas de Ryuk) plutôt que de perdre des jours d’activité. Il avait déjà rapporté 3 M€ à ses auteurs en janvier 2019 (source : Le Monde). En mars 2019, l’Agence nationale de sécurité des systèmes d’information (ANSSI) publiait un bulletin d’alerte et un bulletin d’actualité notamment sur ce code malveillant.

Dans le cas évoqué par les garde-côtes américains, l’incident a touché un opérateur travaillant dans le cadre du Maritime Transportation Security Act (la transcription dans la loi américaine du code ISPS). Si les investigations étaient toujours en cours à la date de rédaction du bulletin d’alerte des garde-côtes (le 16 décembre 2019), le code aurait infecté le réseau interne de cet opérateur par le biais d’une campagne de hameçonnage (phishing) par courrier électronique. Une fois le lien malicieux cliqué par un employé, le code malveillant aurait permis à la source de menace d’accéder à d’importantes ressources réseaux (fichiers…), puis le les chiffrer, empêchant l’accès à des fichiers critiques pour le fonctionnement de l’installation. Le code malveillant s’est ensuite propagé au cœur des systèmes de contrôle industriel de l’opérateur en charge du suivi et du transfert des cargaisons, chiffrant les données critiques indispensables aux opérations portuaires.

Les impacts sur l’installation ont été importants : perte complète de l’accès au réseau “IT” (dépassant mêmes les frontières physiques de l’opérateur), perte des systèmes de vidéosurveillance et de contrôle d’accès physique, perte des systèmes critiques de supervision et de contrôle des process industriels. Ces effets combinés ont poussé l’opérateur à arrêter totalement ses opérations pour plus de 30 heures, le temps de mener une investigation cyber.

Près d’un an et demi après les premières apparitions de ce rançongiciel, les dégâts sont donc importants. Les gardes-côtes rappelles qu’un certain nombre de mesure auraient pu prévenir l’attaque ou en limiter les impacts (on peut donc légitimement penser qu’elles étaient plus ou moins absentes) :

  • la présence d’un système de détection et de prévention des intrusions ;
  • l’existence d’antivirus à jour de leurs moteurs et signatures ;
  • une journalisation centralisée et supervisée ;
  • une segmentation réseau minimale entre IT (Information Technology) et OT (Operational Technology) ;
  • une cartographie à jour des réseaux IT/OT ;
  • des sauvegardes de tous les fichiers et logiciels critiques.

Le Pôle Mer Bretagne-Atlantique labellise le mastère spécialisé “Cybersécurité des systèmes maritimes et portuaires”.

Le Mastère spécialisé “Cybersécurité des systèmes maritimes et portuaires” , formation organisée par IMT Atlantique, ENSTA Bretagne, l’École navale et l’ENSM a reçu la labellisation du Pôle Mer Bretagne Atlantique, qui soutient et labellise les formations spécifiques adaptées au monde maritime.

Plus d’informations ici : https://www.pole-mer-bretagne-atlantique.com/fr/actualites/12-la-vie-du-pole/2443-le-pole-labellise-le-mastere-specialise-cybersecurite-des-systemes-maritimes-et-portuaires.