ΑρχικήsecurityEnel Group: Δέχτηκε επίθεση από το SNAKE Ransomware

Enel Group: Δέχτηκε επίθεση από το SNAKE Ransomware

Η γιγαντιαία Ευρωπαϊκή εταιρεία ενέργειας Enel Group δέχτηκε επίθεση το SNAKE ransomware πριν από λίγες ημέρες η οποία επηρέασε το εσωτερικό της δίκτυο.

Εντοπίστηκε στις 7 Ιουνίου και το περιστατικό είναι έργο των χειριστών του ransomware EKANS (SNAKE), της ομάδας που πραγματοποιήσει επίθεση στην Honda νωρίτερα αυτή την εβδομάδα.

snake ransomware Enel Group

Η Enel ανέκαμψε γρήγορα

Η Enel Group επιβεβαίωσε ότι το εσωτερικό IT δίκτυο της διακόπηκε την Κυριακή το απόγευμα μετά από μια επίθεση ransomware που εντοπίστηκε από το antivirus τους πριν μπορέσει το malware να εξαπλωθεί.

Για την αντιμετώπιση του περιστατικού απαιτείται η απομόνωση του εταιρικού δικτύου για περιορισμένο χρονικό διάστημα, “για την πραγματοποίηση όλων των παρεμβάσεων που αποσκοπούν στην εξάλειψη τυχόν υπολειπόμενων κινδύνων.” Όλη η συνδεσιμότητα αποκαταστάθηκε με ασφάλεια νωρίς το πρωί της Δευτέρας, λέει η εταιρεία.

Όταν το SNAKE αναπτύσσεται σε μια στοχευμένη επίθεση, εκτελεί ελέγχους σε εσωτερικά domain και διευθύνσεις IP για να επιβεβαιώσει εάν τρέχει στο σωστό δίκτυο.

Εάν αποτύχουν αυτοί οι έλεγχοι, το ransomware δεν θα πραγματοποιήσει κρυπτογράφηση.

Η Enel δεν ανέφερε το όνομα του ransomware που χρησιμοποιήθηκε στην επίθεση, αλλά ο ερευνητής ασφαλείας Milkream βρήκε ένα δείγμα SNAKE / EKANS που υποβλήθηκε στο VirusTotal στις 7 Ιουνίου που δείχνει ότι ελέγχει για το domain “enelint.global”.

Αυτό το domain ανήκει επί του παρόντος στην Enel και ανακατευθυνόταν στη διεθνή σελίδα της εταιρείας όταν ήταν live.

Το ίδιο domain συνδέεται με τις διευθύνσεις της Enel στις Η.Π.Α. και στην Ιταλία και αργότερα οδηγεί σε ιστότοπους που αλλάζουν με βάση τις χώρες όπου η εταιρεία δραστηριοποιείται.

Η ανάλυση από τον Milkream δείχνει το string “enelint.global” στο δείγμα κακόβουλου λογισμικού καθώς και έναν έλεγχο για μια εσωτερική διεύθυνση IP.

Δεν υπάρχουν λεπτομέρειες σχετικά με το πώς οι εισβολείς κατάφεραν να αποκτήσουν πρόσβαση στο δίκτυο, αλλά ένα κοινό σημείο εισόδου είναι οι εκτεθειμένες συνδέσεις απομακρυσμένης επιφάνειας εργασίας (RDP), που συνήθως χρησιμοποιούνται για απομακρυσμένη υποστήριξη / συντήρηση.

Αυτό είναι εύλογο τόσο για την Enel όσο και για τη Honda, καθώς ο ερευνητής ασφαλείας Germán Fernández από την CronUp διαπίστωσε ότι οι δύο εταιρείες είχαν συνδέσεις RDP εκτεθειμένες στο internet.

Ακόμη περισσότερο, οι εκτεθειμένες συνδέσεις αφορούσαν μηχανήματα στα «enelint.global» και «mds.honda.com», τα ίδια domain που ελέγχθηκαν από δείγματα ransomware EKANS που ανέβηκαν στο VirusTotal:

Σύμφωνα με δηλώσεις και των δύο εταιρειών, η επίθεση από το Snake ransomware ήταν ανεπιτυχής.

Ωστόσο, είναι άγνωστο πότε οι εισβολείς μπήκαν στο δίκτυο και αν είχαν χρόνο να κλέψουν δεδομένα.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS