La EKANS ransomware qui est connu comme Serpent est l'un des outils de piratage les plus prolifiques qui sont utilisés dans des campagnes à grande échelle et ciblées contre les installations industrielles. Une offensive de piratage récemment découverte a révélé que ce logiciel malveillant est à nouveau utilisé contre les systèmes de contrôle industriels et les installations connexes.
EKANS (SERPENT) Ransomware frappe les installations industrielles dans une nouvelle attaque
Le rançongiciel Snake, également connu sous le nom de EKANS en raison de l'extension qu'il applique aux données cibles sur les appareils infectés. Il semble que des échantillons de virus aient été découverts lors d'attaques en cours - fin mai et en Juin. Le virus est écrit dans le Langage de programmation GO qui est devenu populaire auprès des créateurs de logiciels malveillants.
Les programmeurs aiment l'utiliser car il est très pratique de compiler sur différentes plates-formes - une seule sélection de code peut être exécutée via le compilateur et les exemples générés fonctionneront sur plusieurs plates-formes, y compris l'IoT et les dispositifs de contrôle utilisés dans les installations de production et les industries critiques. L'une des caractéristiques du ransomware EKANS est que leurs échantillons sont de taille relativement importante. Ceci veut dire cela analyse des logiciels malveillants sera rendu plus difficile. Il semble que les pirates informatiques derrière le ransomware EKANS ciblent à nouveau les installations de production comme cela a été fait avec le Honda attaque.
Le code du virus est fortement masqué, ce qui signifie que la plupart des moteurs de sécurité ne pourront pas détecter sa présence. Il est également assez complexe contenant plus de 1200 cordes et comprend de nombreuses fonctionnalités avancées qui n'ont pas été trouvées dans les anciennes variantes:
- Confirmation de l'environnement cible
- Isolement du pare-feu hôte installé qui désactivera les mesures de sécurité
- Décodage automatique des clés RSA pendant le processus de cryptage
- La possibilité de démarrer et d'arrêter des processus et des services en cours d'exécution sur les appareils compromis
- Suppression des copies et des sauvegardes du volume fantôme
- Chiffrement des fichiers
- Désactivation du pare-feu hôte
La nouvelle version du ransomware EKANS contiendra également la possibilité de identifier le rôle de la machine des hôtes. Cela se fait en le classant comme l'un des nombreux rôles de travail: 0 – Station de travail autonome, 1 – Poste de travail membre, 2 – Serveur autonome, 3 – Serveur membre, 4 – Contrôleur de domaine de sauvegarde, 5 – Contrôleur de domaine principal.
Le ransomware EKANS comprend également la possibilité de désactiver d'autres fonctions de sécurité — il peut détecter s'il existe un logiciel de virtualisation installé, environnements sandbox et autres applications connexes et les désactiver ou les supprimer complètement.
Pour le moment, les rapports n'indiquent pas quelles entreprises renommées ont été touchées. Cependant, étant donné que les attaques se poursuivent, il est très possible qu'une grande entreprise soit rapidement frappée si des mesures adéquates ne sont pas prises.. Un tel ransomware ne sera pas seulement utilisé pour extorquer les victimes pour un paiement en espèces, mais aussi à des fins de sabotage.