EKANS – pierwszy ransomware atakujący systemy przemysłowe

1455
Virus warning alert on computer screen detected modish cyber threat , hacker, computer virus and malware

Firmy Dragos i Sentinel One poinformowały o pojawieniu się nowego oprogramowania ransomware, czyli szyfrującego dane zainfekowanych komputerów, którym jest EKANS (znane też jako Snake). Jego celem są przemysłowe systemy sterowania (ICS).

EKANS pojawił się pod koniec 2019 roku i, zdaniem przedstawicieli firm, jest z jednej strony relatywnie prostym oprogramowaniem szyfrującym dane , a następnie wyświetlającym żądanie wpłaty okupu, z drugiej zaś ma unikalną funkcjonalność umożliwiającą samodzielne zamykanie procesów działających na zainfekowanych komputerach. Wśród tych ostatnich są procesy związane z przemysłowymi systemami sterowania – m.in. takimi jak GE Proficy, ThingWorx oraz Honeywell HMI, a także te powiązane z systemami Internetu Rzeczy. Stąd też, zdaniem ekspertów, za jego opracowanie odpowiada grupa osób dysponująca duża wiedzą w zakresie IT.

Oprogramowanie atakuje systemy przemysłowe (komputery z systemem Windows). Po zaszyfrowaniu plików, zmienia ich nazwy, a następnie wysyła do właściciela e-mail z żądaniem okupu za odkodowanie (płatne w krydptowalucie).

Przykład zaszyfrowanych plików (źródło: Dragos)
Informacja z żądaniem okupu (źródło: Dragos)

Jak już wspomniano, EKANS to malware relatywnie prosty w porównaniu do innych znanych w branży przemysłowej – choćby mającego blisko 10 lat robaka Stuxnet, czy mającego na koncie ataki na systemy sterowania ukraińskimi sieciami elektroenergetycznymi BlackEnergy. Jednakże nowum jest tu fakt, że szyfruje on pliki systemów służących do kontroli pracy maszyn i instalacji technologicznych, w efekcie powodując wyłączenia oraz straty producentów.

Według przedstawicieli firmy Dragos omawiane oprogramowanie ma cechy podobne do ransomware’u Megacortex, który pojawił się na początku 2019 roku. Wśród celów atakowanych przez EKANS są m.in. systemy firm z branży paliwowej. Oprogramowanie rozprzestrzeniania się poprzez uruchamiane skrypty oraz w trybie interaktywnym.

Jak przeciwdziałać zagrożeniu? Przedstawiciele wymienionych firm zalecają przegląd infrastruktury pod kątem możliwości jej infekowania oprogramowaniem ransomware. Elementem prewencji jest też wprowadzenie mechanizmów uniemożliwiających uruchamianie nowych, nieznanych programów na komputerach obsługujących systemy sterowania Zaleca się też monitorowanie  danych przesyłanych pomiędzy sieciami sterowania i korporacyjnymi oraz wprowadzania odpowiednich polityk bezpieczeństwa (segmentacja sieci).

Więcej informacji na temat EKANS: