Νέα δείγματα του ransomware EKANS αποκάλυψαν πώς οι σημερινοί διαδικτυακοί εισβολείς χρησιμοποιούν μια ποικιλία μεθόδων για να θέσουν σε κίνδυνο σημαντικές βιομηχανικές εταιρείες.
Σε μια ερευνητική έκθεση που δημοσιεύθηκε την Τετάρτη, οι ερευνητές του FortiGuard Labs, Ben Hunter και Fred Gutierrez δήλωσαν ότι το malware που έχει σχεδιαστεί για να επιτίθεται σε βιομηχανικά συστήματα ελέγχου (ICS) εξακολουθεί να είναι επικερδές για τους απειλητικούς παράγοντες.
Ενώ το ransomware αντιπροσώπευε μόνο το ένα τρίτο όλων των περιστατικών malware κατά τη διάρκεια του 2019 – σύμφωνα με την έκθεση παραβίασης δεδομένων της Verizon 2020 – όταν εφαρμόζεται σε βασικά, κρίσιμα συστήματα, μια μόλυνση μπορεί να είναι καταστροφική. Μπορεί να αναγκαστείτε να πληρώσετε λύτρα για να καταφέρετε να αποκτήσετε πρόσβαση στα συστήματα σας.
Η οικογένεια ransomware EKANS είναι ένα τέτοιο στέλεχος που έχει χρησιμοποιηθεί σε στοχευμένες εκστρατείες ICS.
Οι ερευνητές μπόρεσαν να αποκτήσουν δύο σύγχρονα δείγματα, ένα από τον Μάιο και ένα άλλο τον Ιούνιο, τα οποία αποκάλυψαν μερικά ενδιαφέροντα χαρακτηριστικά.
Και τα δύο δείγματα που βασίζονται στα Windows είναι γραμμένα σε GO, μια γλώσσα προγραμματισμού που χρησιμοποιείται ευρέως στην κοινότητα ανάπτυξης κακόβουλων προγραμμάτων, καθώς είναι σχετικά εύκολο να μεταγλωττιστεί για να “δουλέψει” σε διαφορετικά λειτουργικά συστήματα.
Για να βοηθήσει στην ανάλυση, η FortiGuard δημιούργησε ένα ειδικό αποσυναρμολογητή EKANS, ανακαλύπτοντας ότι παρά τον μεγάλο αριθμό σφαλμάτων κωδικοποίησης στην έκδοση Μαΐου του ransomware, το κακόβουλο λογισμικό εξακολουθεί να είναι σε θέση να αποδίδει αποτελεσματικά σε επιθέσεις εναντίον των συστημάτων ICS.
Φαίνεται ότι το EKANS έχει σχεδιαστεί για να επιλέγει σκόπιμα τα θύματά του. Το malware θα προσπαθήσει να επιβεβαιώσει τον στόχο του κάνοντας “resolve το domain” που ανήκει σε μια εταιρεία θύματος και συγκρίνοντας αυτές τις πληροφορίες με λίστες IP. Εάν ο στόχος δεν επιβεβαιωθεί, η ρουτίνα “φεύγει”.
Μόλις επιτευχθεί ένας στόχος, το ransomware θα σαρώσει τους domain controllers για να περάσει σε compromise.
Και οι δύο εκδόσεις έχουν τη λειτουργικότητα του τυπικού ransomware. Μόλις “προσγειωθεί” σε ένα ευάλωτο μηχάνημα, το κακόβουλο λογισμικό μπορεί να κρυπτογραφήσει αρχεία και να εμφανίσει ένα σημείωμα για λύτρα που απαιτεί πληρωμή σε αντάλλαγμα για ένα κλειδί αποκρυπτογράφησης που μπορεί – ή όχι – να επαναφέρει την πρόσβαση σε αρχεία συστήματος.
Ωστόσο, το δείγμα του Ιουνίου υπερβαίνει αυτές τις δυνατότητες και είναι ικανό για λειτουργικότητα υψηλού επιπέδου που θα μπορούσε να προκαλέσει καταστροφή σε ένα βιομηχανικό περιβάλλον, συμπεριλαμβανομένης της δυνατότητας απενεργοποίησης των firewall του κεντρικού υπολογιστή.
Αυτή η νέα προσθήκη στη λειτουργικότητα EKANS δεν ήταν η μόνη βελτίωση. Προκειμένου να παρακάμψει τυχόν υπάρχουσες προστασίες ICS, το ransomware θα προσπαθήσει επίσης να απενεργοποιήσει το firewall πριν από την κρυπτογράφηση, σημείωσαν οι ερευνητές.
Το EKANS χρησιμοποιεί κρυπτογράφηση RSA για να κλειδώσει τα μηχανήματα που έχουν επηρεαστεί τερματίζει οποιοδήποτε σύστημα θα μπορούσε να αποτελέσει εμπόδιο στις δραστηριότητες του κακόβουλου λογισμικού και τέλος διαγράφει σκιώδη αντίγραφα στη διαδικασία για να καταστήσει πιο δύσκολη την ανάκτηση αρχείων.
