EKANS Ransomware plantea preocupaciones de regulate industrial



Aunque el ransomware no es sofisticado, el malware muestra que algunos criptoatacantes están apuntando a ciertos productos de handle industrial.

Un ataque de ransomware bastante poco sofisticado ha despertado algunas dudas entre los investigadores de seguridad por su capacidad de obligar a las computadoras a detener actividades o procesos específicos relacionados con los sistemas de command industrial, afirmó la firma de seguridad de infraestructura crítica Dragos en un informe publicado el 3 de febrero.

En el pasado, el ransomware generalmente ha causado interrupciones en los entornos del sistema de manage industrial (ICS) como un efecto secundario de la actividad destructiva del malware: el cifrado de datos puede causar que algunos programas fallen, causando interrupciones. Aunque es un ataque relativamente primitivo, el ransomware EKANS apunta activamente a ciertos productos comunes en entornos ICS, dice Joe Slowik, un cazador de adversarios con Dragos.

Sin embargo, el programa no parece ser un peligro significativo en este momento, dice. «Ciertamente no es nada que descartar todavía puede verse afectado por las operaciones industriales, pero es importante tener en cuenta que el ransomware no tiene la capacidad de modificar, manipular o cambiar la lógica del proceso, que es donde nos metemos realmente sobre eventos «, dice Slowik.

El proceso de objetivos de ransomware comenzó como parte del historiador de datos Proficy de GE, que registra eventos y el estado de los dispositivos en la red, los servicios del servidor de licencias de GE Fanuc y la aplicación HMIWeb de Honeywell, afirmó Dragos en el informe. La focalización de los procesos de ICS coloca a EKANS en la misma categoría que el ransomware MegaCortex, que ha infectado con éxito los sistemas de las empresas y exigió rescates que van desde $ 20,000 a $ 5,8 millones.

«(La) especificidad de los procesos enumerados en una &#39lista de asesinatos&#39 estática muestra un nivel de intencionalidad previamente ausente del ransomware dirigido al espacio industrial». el informe Dragos declaró. «Por lo tanto, se recomienda encarecidamente a los propietarios y operadores de activos de ICS que revisen su superficie de ataque y determinen los mecanismos para entregar y distribuir malware disruptivo, como ransomware, con características específicas de ICS».

La táctica de detener los procesos es común entre el malware. Muchos programas intentarán detener el antivirus como primer paso para infectar un sistema. EKANS tiene una lista estática de eliminación de 64 procesos diferentes que intenta detener, pero MegaCortex tiene su propia lista, mucho más grande, de 1,000 procesos.

Dragos argumenta que los dos programas podrían estar relacionados. Sin embargo, EKANS es una amenaza mucho menor que MegaCortex.

«Aunque matar los procesos del historiador es ciertamente inconveniente y no es algo bueno, ciertamente no es algo que cierre una planta», dice Slowik. «Hará las operaciones más difíciles».

Matar a los otros servicios podría provocar más interrupciones. Este es un malware suitable con ICS, dice, representa una forma de intrusión bastante primitiva.

La existencia de una dirección de correo electrónico que contiene la cadena «bapco» ha llevado a algunos investigadores a especular que EKANS, que otros llaman Snake, está relacionado con el ataque Dustman en diciembre que supuestamente infectó a la compañía petrolera nacional de Bahrein, también conocida como Bapco.

Sin embargo, Slowik sigue sin estar convencido.

«Si bien la dirección de correo electrónico es provocativa a la luz de esta noticia, la muestra de EKANS parece no estar relacionada con el evento Dustman», afirmó en el informe. «Una posibilidad es que EKANS se haya utilizado de hecho en Bapco en un incidente anterior a Dustman, mientras que otra es que los informes públicos actuales confunden el incidente de Dustman, que toda la información disponible se centra en Arabia Saudita, con un ransomware generalizado y potencialmente perjudicial evento en Bapco que ocurre aproximadamente al mismo tiempo «.

Entonces, ¿quién escribió este programa? Slowik no está tan seguro.

«Es una pregunta abierta», dice. «Ha habido informes de que esta es una operación iraní, pero eso es un poco exagerado».

En el pasado, el nivel de atención de que atacar una empresa de servicios públicos o una instalación industrial hubiera atraído al autor mantuvo a muchos atacantes demasiado preocupados por las consecuencias para atacar dichas instalaciones. Sin embargo, EKANS demuestra que los propietarios de activos de ICS deben tener visibilidad del estado de su infraestructura, dice Slowik.

«Las organizaciones necesitan ajustar su perfil de riesgo de manera adecuada (y reconocer) que su riesgo no se detiene en entidades patrocinadas por el estado o en una infección aleatoria sin gusanos», dice Slowik. «Parece cada vez más que los actores de amenazas, ya sean criminales o no, están más dispuestos a operar en estas áreas, los riesgos son condenados».

contenido relacionado

Revisa El borde, La nueva sección de Dark Reading para características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «Las preocupaciones de AppSec llevaron al 61% de las empresas a cambiar de aplicación«.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Darkish Looking through, MIT&#39s Technological know-how Review, Well-known Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Más suggestions





Enlace a la noticia unique