Il Ekans ransomware che è noto come Serpente è uno degli strumenti di hacking più prolifici che vengono utilizzati in campagne su larga scala e mirate contro impianti industriali. Un'offensiva di hacking recentemente scoperta ha scoperto che questo malware viene nuovamente utilizzato contro i sistemi di controllo industriale e le strutture correlate.
Ekans (SERPENTE) Il ransomware colpisce le strutture industriali in un nuovo attacco
Il serpente ransomware che è anche conosciuto come Ekans a causa dell'estensione si applica ai dati di destinazione sui dispositivi infetti. Sembra che campioni di virus siano stati scoperti in attacchi in corso - entrambi dentro fine di maggio e in Giugno. Il virus è scritto nel GO linguaggio di programmazione che è diventato popolare tra i creatori di malware.
Ai programmatori piace usarlo perché è molto conveniente compilare su piattaforme diverse: una sola selezione di codice può essere eseguita attraverso il compilatore e gli esempi generati funzioneranno su più piattaforme, compresi l'IoT e i dispositivi di controllo utilizzati negli impianti di produzione e nelle industrie critiche. Una delle caratteristiche del ransomware EKANS è che i loro campioni sono di dimensioni relativamente grandi. Ciò significa che analisi del malware sarà reso più difficile. Sembra che gli hacker dietro il ransomware EKANS stiano di nuovo prendendo di mira le strutture di produzione, come è stato fatto con il Attacco Honda.
Il codice del virus è fortemente offuscato, il che significa che la maggior parte dei motori di sicurezza non sarà in grado di rilevare la sua presenza. È anche piuttosto complesso che contiene over 1200 stringhe e include molte funzionalità avanzate che non sono state trovate nelle varianti precedenti:
- Conferma dell'ambiente di destinazione
- Isolamento del firewall host installato che disabiliterà le misure di sicurezza
- Decodifica automatica delle chiavi RSA durante il processo di crittografia
- La capacità di avviare e arrestare processi e servizi in esecuzione sui dispositivi compromessi
- Rimozione di copie e backup del volume shadow
- Crittografia dei file
- Disabilitazione del firewall host
La nuova versione del ransomware EKANS conterrà anche la possibilità di identificare il ruolo della macchina degli ospiti. Questo viene fatto classificandolo come uno dei numerosi ruoli lavorativi: 0 – Workstation autonoma, 1 – Workstation membro, 2 – Server autonomo, 3 – Server membro, 4 – Controller di dominio di backup, 5 – Controller di dominio primario.
Il ransomware EKANS include anche la possibilità di disabilitare altre funzionalità di sicurezza — può rilevare se ci sono software di virtualizzazione installati, ambienti sandbox e altre applicazioni correlate e disabilitarli o rimuoverli completamente.
Al momento i rapporti non indicano quali società ben note sono state colpite. Tuttavia, dato il fatto che gli attacchi sono in corso, è molto probabile che una grande azienda possa essere colpita presto se non vengono prese misure adeguate. Tale ransomware non sarà utilizzato solo per estorcere le vittime al pagamento in contanti, ma anche a fini di sabotaggio.