Ransomware EKANS!!
Buongiorno cari lettori, oggi parleremo di un nuovo ransomware chiamato EKANS.
Nuovi informazioni del ransomware EKANS hanno rivelato come gli odierni cyberattacker stiano usando una varietà di metodi per compromettere le aziende industriali chiave.
In un rapporto di ricerca pubblicato mercoledì, i ricercatori del FortiGuard Labs Ben Hunter e Fred Gutierrez hanno affermato che il malware progettato per attaccare i sistemi di controllo industriale (ICS) continua ad essere redditizio per gli attori della minaccia.
Mentre il ransomware ha rappresentato solo un terzo circa di tutti gli incidenti di malware nel corso del 2019 - secondo il rapporto di Verizon del 2020 sulla violazione dei dati - quando viene applicato a sistemi fondamentali e critici, come le utility e la produzione, un'infezione può essere devastante, dirompente, e i servizi chiave possono sentire una pressione incredibile per pagare un riscatto.
La famiglia dei ransomware EKANS è uno di questi ceppi che è stato utilizzato in campagne ICS mirate.
I ricercatori hanno potuto ottenere due campioni moderni, uno di maggio e uno compilato a giugno, che hanno rivelato alcune caratteristiche interessanti.
Entrambi i campioni basati su Windows sono scritti in GO, un linguaggio di programmazione ampiamente utilizzato nella comunità di sviluppo del malware, in quanto è relativamente facile da compilare per lavorare su diversi sistemi operativi.
Per facilitare l'analisi, FortiGuard ha creato un dissembler specifico per EKANS, scoprendo che nonostante un gran numero di errori di codifica nella versione di maggio del ransomware - oltre 1200 stringhe, infatti - il malware è ancora in grado di funzionare efficacemente negli attacchi contro i sistemi ICS.
Sembra che EKANS sia stato progettato per selezionare deliberatamente le sue vittime. Il malware cercherà di confermare il suo obiettivo risolvendo il dominio appartenente a una società vittima e confrontando queste informazioni con le liste di IP. Se lo stato dell'obiettivo non viene confermato, la routine esce.
Una volta acquisito il target, il ransomware cerca di trovare un compromesso tra i controllori di dominio.
Entrambe le versioni hanno la funzionalità del tipico ransomware. Una volta atterrato su una macchina vulnerabile, il malware è in grado di crittografare i file e visualizzare una nota di riscatto che richiede il pagamento in cambio di una chiave di decrittazione che può - o non - ripristinare l'accesso ai file di sistema.
Tuttavia, l'esempio di giugno va oltre queste caratteristiche ed è in grado di offrire funzionalità di alto livello che potrebbero scatenare il caos in un ambiente industriale, compresa la possibilità di disattivare i firewall degli host.
Questa nuova aggiunta alla funzionalità di EKANS non è stato l'unico miglioramento. Al fine di bypassare qualsiasi protezione ICS esistente, il ransomware tenterà anche di disattivare il firewall prima della crittografia "probabilmente per rilevare gli AV e altre soluzioni di difesa bloccando qualsiasi comunicazione da parte dell'agente", hanno osservato i ricercatori.
EKANS utilizza la crittografia RSA per bloccare le macchine che hanno subito un impatto e andrà su un processo che ucciderà la furia, terminando qualsiasi sistema che potrebbe diventare una barriera alle attività del malware e cancellando le copie ombra nel processo per rendere più difficile il recupero dei file.
Oltre all'esame di questo interessante malware ICS, FortiGuard ha anche pubblicato una guida su quelle che, secondo la società di sicurezza informatica, sono le tecniche e le tattiche più attuali utilizzate dagli attori della minaccia industriale.
Questi includono lo sfruttamento di servizi remoti, l'utilizzo di dump di credenziali, lo spostamento laterale attraverso le reti, la disabilitazione o la modifica degli strumenti di sicurezza informatica, la disabilitazione delle difese attraverso la disabilitazione dei registri degli eventi di Windows e la modifica dei criteri di gruppo.
A marzo, l'azienda di sicurezza informatica FireEye ha avvertito che lo sviluppo di malware e di strumenti di hacking in grado di mirare all'ICS è in aumento, la maggior parte dei quali è stata sviluppata nell'ultimo decennio. La maggior parte degli strumenti analizzati da FireEye sono considerati vendor-agnostic, ma in alcuni casi il software è stato progettato per compromettere le configurazioni ICS offerte da specifiche aziende.
spero che questo articolo vi sia piaciuto e ci vedremo ad un prossimo articolo.
