Gli esperti del CSIRT-Italia avvisano di una nuova campagna del ransomware EKANS, in circolazione con differenti varianti: agisce come un cryptolocker e colpisce anche gli ICS.
“La peculiarità del malware EKANS (anagramma di SNAKE) è che oltre ad agire come un cryptolocker, presenta funzionalità in grado di arrestare forzatamente processi di sistema relativi al dominio degli Industrial Control System (ICS). In particolare, è codificata al suo interno una “kill list” di processi ICS da terminare. I meccanismi di funzionamento descritti sembrano derivati da MEGACORTEX, un altro malware che, in aggiunta ai processi ICS, ha impatti anche su quelli che implementano funzioni di sicurezza. Ciò conferisce a tali malware un livello di intenzionalità prima assente dai ransomware di questo tipo, configurandosi quindi come un rischio unico e specifico per i sistemi industriali”.
EKANS era stato scoperto dagli esperti di cyber security di Dragos a metà dicembre 2019 e la società aveva pubblicato un report. Il ransomware presentava funzionalità aggiuntive per interrompere forzatamente una serie di processi. “Mentre studiava EKANS, Dragos osservò un elenco di processi associati alle operazioni del sistema di controllo industriale (ICS). Il malware è stato progettato per terminare i processi denominati sui computer delle vittime. Ciò è notevole per EKANS perché, sebbene il ransomware abbia precedentemente vittimizzato gli ambienti ICS, tutti gli eventi precedenti sono tutti dotati di ransomware incentrato sull’IT che si diffonde negli ambienti dei sistemi di controllo tramite meccanismi aziendali”.
Tuttavia, al momento non ci sono dettagli su come EKANS si propaghi all’interno della rete colpita, pertanto gli esperti del CSIRT-Italia ribadiscono che la prima difesa consiste nell’implementazione di misure preventive. Gli operatori ICS sono pertanto sono incoraggiati a ridefinire l’ampiezza dell’eventuale superficie di attacco e riconsiderare i nuovi meccanismi di funzionamento dei malware indirizzati verso i sistemi ICS.
Il CSIRT-Italia suggerisce in particolare che gli operatori censiscano accuratamente i propri asset e le relative connessioni all’interno del proprio ambiente operativo, affinché possa essere determinato l’impatto che un ransowmare con specifici riferimenti al settore ICS possa avere su operazioni o sui processi correlati e prendere, quindi, le opportune contromisure.
https://csirt.gov.it/contenuti/nuova-campagna-di-ekans-al03-200609-csirt-ita
