Przemysłowym systemom IT zagraża nowy ransomware

Hakerzy przeprowadzają coraz więcej ataków ransomware wymierzonych w instalacje przemysłowe (z ang. ICS; Industrial Control Systems), a firma Dragos opublikowała ostatnio raport w którym ostrzega przed nowym, niezwykle groźnym oprogramowaniem malware tego typu, któremu nadano nazwę Ekans.

Malware ten – znany również pod nazwą Snake – został zidentyfikowany po raz pierwszy w grudniu 2019 r. Atakuje on przemysłowe systemy, którymi zarządzają komputery Windows. Jak każdy malware tego typu, tak i ten szyfruje zapisane w ich pamięciach pliki, a następnie żąda okupu za ich odszyfrowanie.

Szkodliwe programy ransomware atakujące systemy przemysłowe znane są od dawna i ich analiza prowadziła w wielu przypadkach do wniosków, że ze względu na ich skomplikowaną budowę zostały prawdopodobnie zaprojektowane przez cyberprzestępców mających wsparcie ze strony jednego z tzw. wrogich państw.

Zobacz również:

To samo można powiedzieć o oprogramowaniu Ekans, które jest tak zaawansowane technologicznie, że nie mogło zostać opracowane przez dysponującą nawet dużą wiedzą informatyczną amatorską grupę. Eksperci twierdzą nawet, że jest to najgroźniejsze oprogramowanie ransomware atakujące systemy przemysłowe, jakie kiedykolwiek wykryto.

Ekans po zaszyfrowaniu plików zmienia ich nazwy (nowe rozszerzenia nazw takich plików składają się po takiej operacji z pięciu znaków) i wysyła do właściciela systemu e-mail żądający okupu za ich odkodowanie, który ma być wypłacony w kryptowalucie.

Sposób w jaki Ekans działa wskazuje na to, że został opracowany z myślą o zaatakowaniu konkretnego celu. Niektóre wcześniejsze raporty łączyły Ekans z Iranem, ale po analizie złośliwego oprogramowania Dragos doszedł do wniosku, że „nie ma na to mocnych lub przekonujących dowodów”.

Obecnie trudno jest powiedzieć, w jaki sposób Ekans jest dystrybuowany, ale w celu ochrony przed atakami informatycy zalecają segmentowanie systemów ICS od reszty sieci. Wtedy nawet w przypadku naruszenia bezpieczeństwa standardowego komputera z systemem Windows atakujący nie mógł przejść do systemów kontrolujących infrastrukturę przemysłową.

Firmy powinny przy tym zadbać o regularne tworzenie kopii zapasowych systemów i przechowywanie ich w trybie offline.


TOP 200