Jak informują firmy Dragos oraz Sentinel One pojawił się nowy rodzaj oprogramowania szyfrującego dane zainfekowanych komputerów tzw. ransomware.
EKANS pojawił się po raz pierwszy w połowie grudnia 2019. Z jednej strony, zdaniem badaczy, jest to stosunkowo proste oprogramowanie szyfrujące dane oraz wyświetlające typowe w takim przypadku żądanie wpłaty okupu za możliwość odszyfrowania. Z drugiej jednak strony EKANS posiada zdolność do samodzielnego zakończenia wybranych procesów, czyli de facto programów, uruchomionych na zainfekowanych komputerach. Charakterystyczne jest to, że na liście „zabijanych” procesów są m.in. te związane z systemami sterowania przemysłowego (ICS) np. GE Proficy, ThingWorx czy Honeywell HMI, oraz związanych z systemami IoT. Dobór tych procesów wskazuje na to, że to właśnie systemy sterowania przemysłowego mogą być podstawowym celem ataku dla EKANS.
Jakkolwiek EKANS może wydawać się prosty w porównaniu do innych programów malware przygotowanych do sabotaży systemów przemysłowych – wystarczy przypomnieć słynny Stuxnet czy BlackEnergy – tym niemniej zaszyfrowanie np. komputerów służących do monitorowania linii produkcyjnych czy przesyłowych i wyłączenie ich w ten sposób z procesu przemysłowego może mieć potencjalnie bardzo niebezpieczne konsekwencje.
Zdaniem specjalistów z Dragos EKANS wykazuje podobieństwo do wcześniejszego ransomware’u Megacortex, który również wyłączał setki procesów na zainfekowanych komputerach wiosną 2019. Megacortex przypisywany jest do udanych ataków, w których żądano okupów aż do 5,8mln USD.
Nie jest w obecnej chwili do końca jasne, kto może być odpowiedzialny za wytworzenie EKANS. Wśród ofiar wymienia się między innymi firmy z sektora paliwowego.
Nie jest również znany mechanizm rozprzestrzeniania się nowego ransomware. Badacze nie stwierdzili żadnego wbudowanego mechanizmu automatycznej propagacji. Malware uruchamia się w trybie interaktywnym albo przez skrypty.
Właścicielom i operatorom systemów ICS zaleca się przegląd infrastruktury pod kątem możliwości zainfekowania oprogramowaniem typu ransomware.
Dodatkowo w ramach prewencji można wprowadzić mechanizmy uniemożliwiające uruchamianie nowych nieznanych programów na komputerach obsługujących systemy sterowania produkcją. Na poziomie sieci można monitorować przesyłanie programów na styku sieci korporacyjnej z siecią przemysłową, by zapobiec propagowaniu się malware’u.
Jak widać cyberprzestępcy coraz częściej kierują swe działania w obiekty przemysłowe. Co gorsza, w dobie 4-tej rewolucji przemysłowej, czyli podłączania coraz większej liczby ICS do sieci, przemysłowe systemy sterowania, kiedyś całkowicie odizolowane, dzisiaj bez odpowiednich zabezpieczeń mogą stać się bardzo łatwym celem. W dodatku przy ciągłym rozwoju technologii, stare sterowniki PLC ewoluowały w nowoczesne kontrolery PAC, posiadające własne systemy operacyjne, które jak każde oprogramowanie ma swoje luki i wady. Nietrudno domyślić się, że w pewnym momencie atak cyberprzestępców może zostać ukierunkowany właśnie w urządzenia sterujące, a nie komputery ICS. Powinno to już teraz skłonić do przemyśleń, że analogicznie jak w przypadku ochrony komputerów przed szkodliwym oprogramowaniem, trzeba zacząć inwestować w ochronę urządzeń sterujących (PAC/PLC) oraz monitoring sieci przemysłowych.
Źródła:
Dragos Blog - EKANS Ransomware and ICS Operations
Sentinel One Blog - New Snake Ransomware Adds Itself to the Increasing Collection of Golang Crimeware
