Alors que la saison des vacances d’hiver bat son plein, un rapport de FireEye révèle plusieurs attaques par ransomwares visant des compagnies exploitant des téléphériques en Autriche et en Russie. Ces attaques, qui semblent avoir ciblé spécifiquement ces compagnies, ont provoqué un arrêt de service de deux jours.
Selon FireEye, le CEO de la société d’exploitation du Moscow Ropeway (MKD) a reçu une succession d’emails indiquant que « des fichiers critiques hébergés sur le serveur central de la société ont été cryptés » et demandant le paiement d’une rançon en bitcoin pour les déchiffrer. Le montant de la rançon demandée dépendait de la rapidité de la réponse à cette demande. Bien qu’il apparaisse que MKD n’a pas été la cible d’un quelconque malware autre que le ransomware utilisé dans le cadre de cette affaire, l’impact de cette attaque fait écho à un événement survenu plus tôt cette année, impliquant un télécabine en Autriche.
Tous les téléphériques s’appuient sur des systèmes de contrôle industriels particulièrement vulnérables aux attaques par ransomwares. Un ransomware introduit dans ces systèmes a de grandes chances d’être rentable pour l’attaquant car les exploitants des téléphériques ne peuvent se permettre le moindre arrêt de service, le système de contrôle assurant la sécurité du transport de personnes et de marchandises en temps réel.
Le secteur des transports peut être tenté de payer des rançons plutôt que de devoir restaurer toutes les données perdues à partir de sauvegardes système, une opération qui peut prendre énormément de temps…
FireEye avait déjà signalé la sévérité des risques de ces attaques sur les systèmes de contrôle industriels, et recommandé à leurs administrateurs d’éviter d’exposer de tels systèmes à internet. Si leur connexion à Internet s’avère indispensable, FireEye recommande la mise en place de mesures de sécurité réseau adaptées.