Die EKANS Ransomware, die als bekannt ist Schlange ist eines der produktivsten Hacking-Tools, die in groß angelegten und gezielten Kampagnen gegen Industrieanlagen eingesetzt werden. Eine kürzlich entdeckte Hacking-Offensive hat ergeben, dass diese Malware erneut gegen industrielle Steuerungssysteme und verwandte Einrichtungen eingesetzt wird.
EKANS (SCHLANGE) Ransomware trifft Industrieanlagen in einem neuen Angriff
Die Snake Ransomware, die auch als bekannt ist EKANS Aufgrund der Erweiterung gilt dies für die Zieldaten auf den infizierten Geräten. Es scheint, dass bei laufenden Angriffen Virusproben entdeckt wurden - sowohl in Ende Mai und in Juni. Der Virus ist in der geschrieben GO Programmiersprache Das ist bei Malware-Entwicklern beliebt geworden.
Programmierer verwenden es gerne, weil es sehr bequem ist, auf verschiedenen Plattformen zu kompilieren. Eine einzige Codeauswahl kann über den Compiler ausgeführt werden, und die generierten Beispiele funktionieren auf mehreren Plattformen, einschließlich der IoT- und Steuergeräte, die in Produktionsanlagen und kritischen Industrien verwendet werden. Eines der Merkmale der EKANS-Ransomware ist, dass ihre Proben relativ groß sind. Das bedeutet, dass Malware-Analyse wird schwieriger gemacht. Es scheint, dass die Hacker hinter der EKANS-Ransomware erneut auf Produktionsanlagen abzielen, wie dies mit dem getan wurde Honda Angriff.
Der Virencode ist stark verschleiert, was bedeutet, dass Die meisten Sicherheits-Engines können ihre Anwesenheit nicht erkennen. Es ist auch ziemlich komplex, über zu enthalten 1200 Streicher und enthält viele erweiterte Funktionen, die in den älteren Varianten nicht gefunden wurden:
- Bestätigung der Zielumgebung
- Isolierung der installierten Host-Firewall, wodurch die Sicherheitsmaßnahmen deaktiviert werden
- Automatische Dekodierung der RSA-Schlüssel während des Verschlüsselungsprozesses
- Die Möglichkeit, Prozesse und Dienste zu starten und zu stoppen, die auf den gefährdeten Geräten ausgeführt werden
- Entfernen von Shadow Volume-Kopien und -Sicherungen
- Dateiverschlüsselung
- Deaktivieren der Host-Firewall
Die neuere Version der EKANS-Ransomware wird auch die Möglichkeit dazu enthalten Identifizieren Sie die Maschinenrolle der Gastgeber. Dies erfolgt durch Klassifizierung als eine der mehreren Arbeitsrollen: 0 – Standalone-Workstation, 1 – Mitglied Workstation, 2 – Standalone-Server, 3 – Mitgliedsserver, 4 – Backup-Domänencontroller, 5 – Primärer Domänencontroller.
Die EKANS Ransomware bietet auch die Möglichkeit dazu Deaktivieren Sie andere Sicherheitsfunktionen — Es kann erkennen, ob Virtualisierungssoftware installiert ist, Sandbox-Umgebungen und andere verwandte Anwendungen und deaktivieren oder entfernen Sie sie vollständig.
Derzeit geben die Berichte nicht an, welche bekannten Unternehmen betroffen sind. Angesichts der Tatsache, dass die Angriffe andauern, ist es jedoch sehr wahrscheinlich, dass ein großes Unternehmen bald getroffen wird, wenn keine angemessenen Maßnahmen ergriffen werden. Solche Ransomware wird nicht nur verwendet, um die Opfer gegen Barzahlung zu erpressen, aber auch für Sabotagezwecke.
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: