Ένα νέο ransomware κρυπτογράφησης αρχείων έχει έρθει στο προσκήνιο, κάνοντας αρκετούς χρήστες να πιστεύουν πως συνδέεται με το Ιράν, το οποίο στοχεύει διαδικασίες και αρχεία που σχετίζονται με βιομηχανικά συστήματα ελέγχου (ICS).
Είναι γραμμένο στη γλώσσα προγραμματισμού Golang και ονομάζεται Snake. Το ransomware έχει χρησιμοποιηθεί σε στοχευμένες εκστρατείες που απευθύνονται σε επιχειρήσεις. Σύμφωνα με το SentinelLabs, το οποίο έχει παρακολουθήσει επιθέσεις που αφορούν το Snake τον περασμένο μήνα, τα κρυπτογραφημένα αρχεία από αυτό το ransomware είναι δύσκολο έως αδύνατο να ανακτηθούν χωρίς να πληρωθούν τα λύτρα που ζητούν οι εισβολείς.
Το Snake στοχεύει ένα ευρύ φάσμα αρχείων, αλλά αποφεύγει την κρυπτογράφηση των αρχείων και των φακέλων του συστήματος. Ωστόσο, προτού ξεκινήσει την κρυπτογράφηση τους, προσπαθεί να τερματίσει τις διαδικασίες που σχετίζονται με διάφορους τύπους προγραμμάτων, συμπεριλαμβανομένων των βοηθητικών προγραμμάτων συστήματος και των εργαλείων διαχείρισης μιας επιχείρησης.
Το Snake τερματίζει μια κρίσιμη διαδικασία για τον διακομιστή GE Digital Proficy, ο οποίος επιτρέπει τη συνδεσιμότητα με τα συστήματα Proficy HMI / SCADA, τα συστήματα κ εκτέλεσης κατασκευών (MES) και τα συστήματα EMM (Enterprise Manufacturing Intelligence). Ο τερματισμός αυτής της διαδικασίας θα μπορούσε να προκαλέσει σοβαρά προβλήματα στις επιχειρησείς.
“Η ζημιά που μπορεί να προκαλέσει το Snake είναι σημαντική”, λέει ο Dor Yardeni, επικεφαλής της ομάδας διαχείρισης περιστατικών της OTORIO. “Η διαγραφή ή το κλείδωμα των στοχευμένων διεργασιών ICS απαγορεύει στις ομάδες παραγωγής να έχουν πρόσβαση σε ζωτικής σημασίας διαδικασίες που σχετίζονται με την παραγωγή, συμπεριλαμβανομένων των αναλύσεων, των ρυθμίσεων και του ελέγχου”.
Τόσο η OTORIO όσο και η SentinelOne επεσήμαναν ότι το σημείωμα λύτρων των δημιουργών του Snake δίνει εντολή στα θύματα να επικοινωνήσουν με τους εισβολείς στη διεύθυνση ηλεκτρονικού ταχυδρομείου “bapcocrypt @ ctemplar.com” για να αγοράσουν το εργαλείο αποκρυπτογράφησης.
Το “bapcocrypt” μπορεί να είναι μια αναφορά στην εταιρία Bahrain Petroleum Company (Bapco), την οποία οι χάκερ στόχευσαν πρόσφατα χρησιμοποιώντας ένα τμήμα κακόβουλου λογισμικού που ονομάζεται Dustman. Το Dustman έχει συνδεθεί με την Εθνική Αρχή Κυβερνοασφάλειας της Σαουδικής Αραβίας μέσω του ZeroCleare, ένα wiper που έχει χρησιμοποιηθεί για να στοχεύσει ενεργειακές και βιομηχανικές οργανώσεις στη Μέση Ανατολή.
Το ZeroCleare έχει συνδεθεί με ιρανικές ομάδες χάκερ και οι ειδικοί πιστεύουν πως οι ίδιες ομάδες βρίσκονται και πίσω από το Snake. Παρόλο που το SentinelOne λέει ότι “μπορεί να υπάρχει κάποια διασύνδεση μεταξύ των επιθέσεων του Snake και του Dustman”, η OTORIO πιστεύει ότι το Snake ίσως έχει χρησιμοποιηθεί σε μια επίθεση εναντίον του Bapco.
