Het EKANS ransomware die bekend staat als Slang is een van de meest productieve hacktools die worden gebruikt in grootschalige en gerichte campagnes tegen industriële installaties. Een recent ontdekt hackoffensief heeft aan het licht gebracht dat deze malware opnieuw wordt gebruikt tegen industriële controlesystemen en aanverwante faciliteiten.
EKANS (SLANG) Ransomware raakt industriële faciliteiten in een nieuwe aanval
De Snake ransomware die ook wel bekend staat als EKANS vanwege de extensie is het van toepassing op de doelgegevens op de geïnfecteerde apparaten. Het lijkt erop dat virusmonsters zijn ontdekt bij voortdurende aanvallen - zowel in einde van mei en in Juni. Het virus is geschreven in de GO programmeertaal die populair is geworden bij makers van malware.
Programmeurs gebruiken het graag omdat het erg handig is om op verschillende platforms te compileren - een enkele codeselectie kan via de compiler worden uitgevoerd en de gegenereerde voorbeelden werken op meerdere platforms, inclusief de IoT en controleapparaten die worden gebruikt in productiefaciliteiten en kritieke industrieën. Een van de kenmerken van de EKANS ransomware is dat hun samples relatief groot zijn. Dit betekent dat malware-analyse wordt bemoeilijkt. Het lijkt erop dat de hackers achter de EKANS-ransomware zich opnieuw richten op productiefaciliteiten, zoals dit werd gedaan met de Honda-aanval.
De viruscode is zwaar verduisterd, wat betekent dat de meeste beveiligingsengines kunnen de aanwezigheid niet detecteren. Het is ook vrij complex met meer dan 1200 strings en bevat veel geavanceerde functies die niet zijn gevonden in de oudere varianten:
- Bevestiging van de doelomgeving
- Isolatie van de geïnstalleerde hostfirewall waardoor de beveiligingsmaatregelen worden uitgeschakeld
- Automatische decodering van de RSA-sleutels tijdens het coderingsproces
- De mogelijkheid om processen en services te starten en te stoppen die op de besmette apparaten draaien
- Verwijdering van schaduwvolume-kopieën en back-ups
- Bestanden versleutelen
- Het uitschakelen van de hostfirewall
De nieuwere versie van de EKANS-ransomware bevat ook de mogelijkheid om identificeer de machinerol van de gastheren. Dit wordt gedaan door het te classificeren als een van de verschillende werkrollen: 0 – Standalone werkstation, 1 – Lid werkstation, 2 – Standalone server, 3 – Leden server, 4 – Backup Domain Controller, 5 – Primaire domeincontroller.
De EKANS-ransomware bevat ook de mogelijkheid om schakel andere beveiligingsfuncties uit — het kan detecteren of er geïnstalleerde virtualisatiesoftware is, sandbox-omgevingen en andere gerelateerde applicaties en schakel ze uit of verwijder ze volledig.
Op dit moment geven de rapporten niet aan welke bekende bedrijven zijn getroffen. Gezien het feit dat de aanvallen aan de gang zijn, is het echter zeer goed mogelijk dat een groot bedrijf snel wordt getroffen als er geen passende maatregelen worden genomen. Dergelijke ransomware wordt niet alleen gebruikt om de slachtoffers af te persen voor contante betaling, maar ook voor sabotagedoeleinden.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: