o EKANS ransomware que é conhecido como Serpente é uma das ferramentas de hacking mais prolíficas que são usadas em campanhas direcionadas em grande escala contra plantas industriais. Uma ofensiva de hackers recentemente descoberta revelou que esse malware está mais uma vez sendo usado contra sistemas de controle industrial e instalações relacionadas.
EKANS (SERPENTE) Ransomware atinge instalações industriais em um novo ataque
O ransomware Snake, também conhecido como EKANS devido à extensão que se aplica aos dados de destino nos dispositivos infectados. Parece que as amostras de vírus foram descobertas em ataques em andamento - tanto em final de maio e em Junho. O vírus é escrito no Linguagem de programação GO que se tornou popular entre os criadores de malware.
Os programadores gostam de usá-lo porque é muito conveniente compilar em plataformas diferentes - uma única seleção de código pode ser executada no compilador e os exemplos gerados funcionarão em várias plataformas, incluindo dispositivos IoT e controle usados em instalações de produção e indústrias críticas. Uma das características do ransomware EKANS é que suas amostras são de tamanho relativamente grande. Isso significa que análise de malware será dificultado. Parece que os hackers por trás do ransomware EKANS estão mais uma vez visando instalações de produção, pois isso foi feito com o Ataque Honda.
O código do vírus está fortemente ofuscado, o que significa que a maioria dos mecanismos de segurança não será capaz de detectar sua presença. Também é bastante complexo, contendo mais 1200 cordas e inclui muitos recursos avançados que não foram encontrados nas variantes mais antigas:
- Confirmação do ambiente alvo
- Isolamento do firewall host instalado que irá desativar as medidas de segurança
- Decodificação automática das chaves RSA durante o processo de criptografia
- A capacidade de iniciar e interromper processos e serviços em execução nos dispositivos comprometidos
- Remoção de cópias e backups do Shadow Volume
- Criptografia de arquivos
- Desativação do Firewall Host
A versão mais recente do ransomware EKANS também conterá a capacidade de identificar a função da máquina dos anfitriões. Isso é feito classificando-o como uma das várias funções de trabalho: 0 – Estação de trabalho autônoma, 1 – Estação de trabalho membro, 2 – Servidor autônomo, 3 – Servidor Membro, 4 – Controlador de domínio de backup, 5 – Controlador de domínio primário.
O ransomware EKANS também inclui a capacidade de desabilitar outros recursos de segurança — ele pode detectar se há algum software de virtualização instalado, ambientes sandbox e outros aplicativos relacionados e desabilitá-los ou removê-los totalmente.
No momento, os relatórios não indicam quais empresas conhecidas foram impactadas. No entanto, dado o fato de que os ataques estão em andamento, é muito possível que uma grande empresa seja atingida em breve se as medidas adequadas não forem tomadas. Esse ransomware não será usado apenas para extorquir as vítimas para pagamento em dinheiro, mas também para fins de sabotagem.