Den EKANS ransomware, der er kendt som Slange er et af de mest produktive hackingværktøjer, der bruges i store og målrettede kampagner mod industrianlæg. En for nylig opdaget hacking offensiv har afsløret, at denne malware igen bruges mod industrielle kontrolsystemer og relaterede faciliteter.
EKANS (SLANGE) Ransomware rammer industrielle faciliteter i et nyt angreb
The Snake ransomware, som også er kendt som EKANS på grund af udvidelsen gælder det for måldataene på de inficerede enheder. Det ser ud til, at virusprøver er blevet opdaget i igangværende angreb - begge i slutningen af maj og i Juni. Virussen er skrevet i GO programmeringssprog som er blevet populært hos malware-skabere.
Programmerere kan godt lide at bruge det, fordi det er meget praktisk at kompilere til forskellige platforme - et enkelt kodevalg kan køres gennem kompilatoren, og de genererede prøver fungerer på tværs af flere platforme, herunder IoT og kontrolenheder, der bruges i produktionsfaciliteter og kritiske industrier. Et af egenskaberne ved EKANS ransomware er, at deres prøver er af en relativt stor størrelse. Det betyder at malware-analyse bliver vanskeligere. Det ser ud til, at hackerne bag EKANS ransomware igen målretter mod produktionsfaciliteter, da dette blev gjort med Honda angreb.
Viruskoden er stærkt tilsløret, hvilket betyder det de fleste sikkerhedsmotorer vil ikke være i stand til at registrere dens tilstedeværelse. Det er også temmelig kompleks indeholdende over 1200 strings og inkluderer en masse avancerede funktioner, der ikke er fundet i de ældre varianter:
- Bekræftelse af målmiljøet
- Isolering af den installerede host-firewall, der deaktiverer sikkerhedsforanstaltningerne
- Automatisk afkodning af RSA-tasterne under krypteringsprocessen
- Muligheden for at starte og stoppe processer og tjenester, der kører på de kompromitterede enheder
- Fjernelse af skyggevolumen kopier og sikkerhedskopier
- Filer Kryptering
- Deaktivering af vært Firewall
Den nyere version af EKANS ransomware vil også indeholde muligheden for identificere maskinrollen af værterne. Dette gøres ved at klassificere det som en af de forskellige arbejderoller: 0 – Uafhængig arbejdsstation, 1 – Medlem Arbejdsstation, 2 – Selvstændig server, 3 – Medlemsserver, 4 – Backup domænecontroller, 5 – Primær domænecontroller.
EKANS ransomware inkluderer også evnen til deaktivere andre sikkerhedsfunktioner — det kan registrere om der er installeret virtualiseringssoftware, sandkassemiljøer og andre relaterede applikationer og deaktivere eller fjerne dem helt.
I øjeblikket angiver rapporterne ikke, hvilke kendte virksomheder er blevet påvirket. Men i betragtning af, at angrebene pågår, er det meget muligt, at et større firma snart kan blive ramt, hvis der ikke træffes passende foranstaltninger. Sådan ransomware vil ikke kun blive brugt til at udpresse ofrene til kontant betaling, men også til sabotageformål.