Nowy ransomware Ekans szyfruje pliki w systemach przemysłowych

  • Wirus wymusza zakończenie procesów systemowych i wyświetla żądanie okupu.
  • Złośliwe oprogramowanie nie rozpowszechnia się samodzielnie, wykorzystuje do tego m.in. e-maile ze złośliwymi załącznikami.
  • Specjaliści zalecają robienie kopii zapasowych i segmentację sieci w zakładach.
  • W ocenie ekspertów, Ekans, znany też jako Snake, to najgroźniejszy z dotychczas poznanych wirusów typu ransomware.
wizualizacja ransomware

Złośliwe oprogramowanie ułatwia przeprowadzanie ataków na systemy i sieci przemysłowe. Specjaliści firmy Dragos zajmującej się cyberbezpieczeństwem zwracają uwagę, że podstawowy mechanizm jest typowy – program szyfruje pliki i wyświetla żądanie okupu, jednak jego dodatkowe funkcje pozwalają jeszcze wymusić zakończenie procesów na zainfekowanych komputerach. Chodzi o zadania przemysłowych systemów sterowania, m.in. o aplikację HMIWeb Honeywell, usługi serwera Fanuc i procesy będące częścią GE Proficy, które rejestrują zdarzenia i stan urządzeń w sieci. Łącznie ransomware ingeruje w 64 zadania uruchamiane w przemysłowych systemach – pełną listę operacji można znaleźć tutaj. Malware atakuje komputery z oprogramowaniem Microsoft Windows, do tej pory Ekans zaszyfrował dane m.in. firmom z branży paliwowej.

(Informacja z żądaniem okupu jest zapisywana na pulpicie komputera w pliku Fix-Your-Files.txt – graf. Dragos)

Rozprzestrzenianie Ekansa

Malware nie ma zdolności replikacji – oprogramowanie jest rozpowszechniane m.in. przez źle skonfigurowany Remote Display Protocol, e-maile ze złośliwymi załącznikami, botnety, exploity i webinjection (czyli podmianę treści strony internetowej w przeglądarce użytkownika). Po uruchomieniu ransomware usuwa Volume Shadow Copy, a zatem usługę Windowsa tworzącą kopie zapasowe lub migawki plików, nawet wtedy, kiedy są używane. Kolejnym krokiem jest zakończenie procesów związanych z systemami SCADA (nadzorującymi przebieg procesów technologicznych lub produkcyjnych), a także z maszynami wirtualnymi i narzędziami do zdalnego zarządzania. Po tych czynnościach Ekans przystępuje do szyfrowania plików, przy okazji którego omija poniższe foldery systemowe.

windir
SystemDrive
:\$Recycle.Bin
:\ProgramData
:\Users\All Users
:\Program Files
:\Local Settings
:\Boot
:\System Volume Information
:\Recovery
\AppData\

Jak chronić się przed atakiem?

Specjaliści zajmujący się bezpieczeństwem cyfrowym podkreślają, że firmy powinny przejrzeć swoją infrastrukturę pod kątem możliwości zainfekowania. Dobrze jest też prewencyjnie zablokować instalowanie programów z nieznanych źródeł, przygotowywać kopie zapasowe plików i przeprowadzić segmentację oddzielającą Industrial Control Systems od reszty sieci.

(Zaszyfrowane pliki mają w rozszerzeniu 5 dodatkowych znaków – graf. Dragos)

Ransomware Ekans, znany też pod nazwą Snake, po raz pierwszy pojawił się w końcówce grudnia minionego roku. Jego funkcjonowanie badali eksperci firm Dragos i Sentinel One, którzy upublicznili informacje o nowym złośliwym oprogramowaniu. Specjaliści twierdzą, że Ekans jest najgroźniejszym spośród wykrytych dotychczas ransomware’ów.

5G 6g Agile AI AR Automatyzacja Big data Blockchain Cloud computing Cyberbezpieczeństwo Digital twin DIH Dojrzałość cyfrowa Drony Druk 3D Edge computing Egzoszkielety Energetyka Fabryka przyszłości Finansowanie Fotowoltaika GOZ Human augmentation ICT IIoT Konkursy Koronawirus Logistyka ML Motoryzacja MŚP NCBR PPP Pracownicy 4.0 Prawo Przemysł 4.0 R&D Roboty Startupy VR