El EKANS ransomware que se conoce como Serpiente es una de las herramientas de piratería más prolíficas que se utilizan en campañas a gran escala y dirigidas contra plantas industriales. Una ofensiva de piratería recientemente descubierta ha descubierto que este malware se está utilizando nuevamente contra sistemas de control industrial e instalaciones relacionadas.
EKANS (SERPIENTE) Ransomware golpea instalaciones industriales en un nuevo ataque
El ransomware Snake que también se conoce como EKANS debido a la extensión, se aplica a los datos de destino en los dispositivos infectados. Parece que se han descubierto muestras de virus en ataques continuos, tanto en finales de mayo y en Junio. El virus está escrito en el GO lenguaje de programación que se ha hecho popular entre los creadores de malware.
A los programadores les gusta usarlo porque es muy conveniente compilar en diferentes plataformas: se puede ejecutar una sola selección de código a través del compilador y las muestras generadas funcionarán en múltiples plataformas, incluyendo IoT y dispositivos de control utilizados en instalaciones de producción e industrias críticas. Una de las características del ransomware EKANS es que sus muestras son de un tamaño relativamente grande. Esto significa que análisis de malware se hará más difícil. Parece que los hackers detrás del ransomware EKANS están una vez más apuntando a las instalaciones de producción, ya que esto se hizo con el Ataque de Honda.
El código del virus está muy ofuscado, lo que significa que la mayoría de los motores de seguridad no podrán detectar su presencia. También es bastante complejo y contiene más de 1200 instrumentos de cuerda e incluye muchas características avanzadas que no se han encontrado en las variantes anteriores:
- Confirmación del entorno objetivo.
- Aislamiento del firewall del host instalado que deshabilitará las medidas de seguridad.
- Decodificación automática de las claves RSA durante el proceso de encriptación
- La capacidad de iniciar y detener procesos y servicios que se ejecutan en los dispositivos comprometidos
- Eliminación de instantáneas y copias de seguridad de volúmenes
- Cifrado de archivos
- Deshabilitación del servidor de seguridad del host
La versión más nueva del ransomware EKANS también contendrá la capacidad de identificar el rol de la máquina de los anfitriones. Esto se hace clasificándolo como uno de los varios roles de trabajo: 0 – Estación de trabajo independiente, 1 – Puesto de trabajo miembro, 2 – Servidor independiente, 3 – Servidor miembro, 4 – Controlador de dominio de respaldo, 5 – Controlador de dominio primario.
El ransomware EKANS también incluye la capacidad de deshabilitar otras características de seguridad — Puede detectar si hay algún software de virtualización instalado, entornos sandbox y otras aplicaciones relacionadas y deshabilítelas o elimínelas por completo.
Por el momento, los informes no indican qué empresas conocidas se han visto afectadas.. Sin embargo, dado el hecho de que los ataques están en curso, es muy posible que una compañía importante se vea afectada pronto si no se toman las medidas adecuadas.. Dicho ransomware no solo se utilizará para extorsionar a las víctimas para el pago en efectivo, pero también con fines de sabotaje.