Τον τελευταίο καιρό, φαίνεται ότι οι κακόβουλοι παράγοντες έχουν στρέψει τις επιθέσεις ransomware που πραγματοποιούν σε συστήματα βιομηχανικού ελέγχου (ICS). Σύμφωνα με τους ερευνητές ασφαλείας η δημιουργία κακόβουλου λογισμικού κρυπτογράφησης αρχείων με σκοπό να μολύνει δίκτυα υπολογιστών που ελέγχουν τις λειτουργίες σε περιβάλλοντα κατασκευής και βοηθητικών εφαρμογών είναι κάτι που παρατηρήθηκε μόλις πρόσφατα.
Όπως αναφέρει η εταιρία Cyber-Security Dragos, το ransomware που ονομάζεται Ekans (γνωστό και ως Snake), εμφανίστηκε για πρώτη φορά τον Δεκέμβριο του 2019 και έχει σχεδιαστεί για να επιτίθεται σε συστήματα Windows που χρησιμοποιούνται σε βιομηχανικά περιβάλλοντα.
Φυσικά έχουν υπάρξει και στο παρελθόν ορισμένα malware που στοχεύουν ICS. Όμως οι ερευνητές κατέληξαν στο συμπέρασμα ότι το Ekans φαίνεται να είναι το έργο μιας κυβερνητικής εγκληματικής ομάδας που εμπλέκεται στο χώρο αυτό και ότι αντιπροσωπεύει “έναν μοναδικό και ειδικό κίνδυνο για τις βιομηχανικές επιχειρήσεις που δεν έχει παρατηρηθεί προηγουμένως σε λειτουργίες κακόβουλου λογισμικού ransomware.”
Οι ερευνητές ανακάλυψαν ότι το Ekans περιέχει μια λίστα εντολών και διαδικασιών που σχετίζονται με διάφορες λειτουργίες του συστήματος βιομηχανικού ελέγχου που αποσκοπούν στη διακοπή αυτών των λειτουργιών.
Τα κρυπτογραφημένα αρχεία μετονομάζονται σε μία τυχαία επέκταση αρχείου πέντε χαρακτήρων, ενώ εμφανίζεται ένα σημείωμα που ζητάει λύτρα με μια διεύθυνση ηλεκτρονικού ταχυδρομείου για επικοινωνία, για να διαπραγματευτούν το ποσό με το θύμα.
Οι επιτιθέμενοι πίσω από το Ekans πιθανόν χρειάζεται να μολύνουν το δίκτυο πριν εκτελέσουν την επίθεση ransomware. Αυτό ακολουθεί την ίδια διαδικασία με παραλλαγές ransomware όπως το Ryuk και το Megacortex. Οι αναφορές της Dragos σημειώνουν ακόμη ότι το Ekans μπορεί να σχετίζεται με το ransomware Megacortex.
Κάποιες αναφορές έχουν συνδέσει το Ekans με το Ιράν, αλλά μετά από ανάλυση του κακόβουλου λογισμικού, η Dragos κατέληξε στο συμπέρασμα ότι δεν υπάρχουν “ισχυρά ή αναμφισβήτητα στοιχεία” που να συνδέουν αυτή την εκστρατεία με στρατηγικά συμφέροντα του Ιράν.
Προς το παρόν δεν είναι σίγουρο το πώς διανέμεται το Eksans στα θύματα, αλλά για την προστασία τους από επιθέσεις ransomware, συνιστάται η απομόνωση των συστημάτων ICS από το υπόλοιπο δίκτυο, οπότε ακόμα και αν παραβιαστεί μια τυποποιημένη μηχανή των Windows, ένας εισβολέας δεν θα μπορεί να προχωρήσει στα συστήματα που ελέγχουν την υποδομή.
Οι οργανισμοί θα πρέπει επίσης να διασφαλίζουν ότι διατηρούν αντίγραφα ασφαλείας τα οποία αποθηκεύονται εκτός σύνδεσης. Τα αντίγραφα ασφαλείας πρέπει να περιλαμβάνουν τα τελευταία γνωστά δεδομένα διαμόρφωσης, για να εξασφαλιστεί η γρήγορη ανάκτησή της.
