Se sospecha que el ICS Threat Snake Ransomware fue atacado por Honda


Según los informes, un ataque contra el fabricante de automóviles infectó servidores internos y provocó la suspensión de la producción en plantas de todo el mundo.

El fabricante de automóviles japonés Honda se vio obligado a pausar temporalmente la producción y los envíos de vehículos en algunas de sus plantas en todo el mundo a principios de esta semana debido a un ciberataque. Si bien la producción se ha reanudado en la mayoría de sus instalaciones, han surgido nuevos detalles sobre el tipo de ataque que cerró la empresa.

El incidente ocurrió cuando uno de los servidores internos de Honda fue atacado desde el exterior y una infección se propagó por toda su pink. Los empleados no pudieron hacer uso de los sistemas internos de Honda y no pudieron usar el correo electrónico o acceder a los servidores, según los informes. Hasta ahora, la compañía no tiene evidencia de que se haya perdido información de identificación personal, confirmó un portavoz.

Honda no reveló más detalles sobre la amenaza sin embargo, los expertos en seguridad cibernética se pusieron a trabajar analizando una muestra de malware subido a VirusTotal el 8 de junio, poco después del ataque.

«Al observar el código, identificamos varios marcadores relacionados con el ransomware EKANS / SNAKE y varias cadenas de texto que contienen la palabra &#39honda&#39», dice Jerome Segura, director de inteligencia de amenazas en Malwarebytes.

Los investigadores analizaron la muestra en su laboratorio y notaron que no cifraría los archivos a menos que respondiera una consulta DNS a un dominio interno perteneciente a Honda. La misma lógica apareció en un ataque separado al mismo tiempo dirigido a Edesur S.A., una compañía perteneciente a Enel Argentina, que opera en el sector energético de la ciudad de Buenos Aires.

«Esto nos llevó a creer que la pandilla Snake probablemente estaba detrás de ambos ataques», dice Segura.

El ransomware Snake surgió en diciembre de 2019 y fue «relativamente sencillo» como una muestra de ransomware en términos de cifrado de archivos y visualización de una nota de rescate, según los expertos de Dragos. explicado En un análisis. Sin embargo, Snake contenía capacidades adicionales para detener por la fuerza varios procesos, incluidos algunos vinculados a las operaciones del sistema de manage industrial (ICS). Los procesos específicos enumerados en una «lista de asesinatos» estática mostraron «un nivel de intencionalidad previamente ausente del ransomware dirigido al espacio industrial», escribieron los analistas. Los componentes diseñados para ICS causaron preocupación, pero en general el malware poco sofisticado no representaba una amenaza importante.

Segura dice que algunos rasgos distinguen a Snake: el ransomware está escrito en el lenguaje de programación Go, que «es un poco inusual» en comparación con otras formas de malware. Está ofuscado y contiene un identificador de compilación específico. En algunas, pero no en todas las muestras de Snake, hay un servidor de comando y handle. De lo contrario, Snake es comparable a otros tipos de ransomware en el sentido de que elimina las instantáneas y mata varios procesos antes del cifrado, dice.

¿Cuánto daño puede causar una serpiente?
Ambas compañías seleccionadas esta semana tenían algunas máquinas con acceso de Protocolo de escritorio remoto (RDP) expuestas públicamente, dijeron investigadores de Malwarebytes en un comunicado. entrada en el website. Los ataques RDP son un punto de entrada común para las operaciones de ransomware dirigidas, pero los investigadores no pueden concluir que así es como los atacantes irrumpieron en Honda o Edesur S.A.

El ataque a Honda es comparable a otros ataques de ransomware Snake, dice Marcus Carey, arquitecto empresarial de ReliaQuest, pero un factor se destacó: los operadores que apuntaban a Honda apuntaban específicamente a sus divisiones de servicios al cliente y servicios financieros. En otros incidentes de Snake anunciados públicamente, las víctimas estaban ejecutando ICSes.

«Estas organizaciones están motivadas por ganancias financieras y se dirigen a cualquier organización que creen que tienen un incentivo para pagar el rescate», dice Carey. «El ataque parecía en parte, si no del todo, apuntar a servicios al cliente y servicios financieros, lo que refuerza que los atacantes buscaban ganancias monetarias».

También pueden haber estado buscando interrumpir, señala Caleb Barlow, CEO de CynergisTek, quien explica que Snake tiene un modelo de negocio diferente al ransomware tradicional. Sus autores reconocen que los ataques destructivos en entornos industriales y de fabricación causan tiempo de inactividad, y que el tiempo de inactividad tiene un costo. Al apuntar a los sistemas ICS / SCADA en estos entornos, dice, crean una ecuación easy: el costo del tiempo de inactividad medido contra el costo del rescate.

Barlow cree que los atacantes de Honda entendieron la economía de su víctima hasta el punto de saber qué nivel de rescate podría pagarse, y construyeron un ataque para maximizar las ganancias. No hay indicios de que Honda haya pagado un rescate aún así, su recuperación dependerá de la preparación.

«Esto ya no es un evento cibernético, es un evento de continuidad comercial», dice Barlow sobre el ataque de Honda. Estos incidentes pueden afectar procesos, comunicación, soporte e incluso sistemas de seguridad. Incluso si una víctima make a decision pagar al azar, la recuperación inicial implica procesos manuales y comunicaciones fuera de banda. Puede ser rápido con los sistemas de copia de seguridad y runbooks correctos en su lugar.

«Si no hay planes y usted esencialmente está &#39forzándolo&#39, entonces el tiempo de recuperación se puede medir en días y semanas», dice Barlow.

Lo que puedes hacer para prepararte
Las principales operaciones de ransomware siguen siendo fuertes, dice Segura, y los atacantes se están aprovechando de la infraestructura RDP expuesta públicamente como uno de sus principales puntos de entrada.

«Cuanto más grande es el negocio, más complejo tiende a ser con numerosos activos para enumerar y proteger», agrega. Los defensores pueden inclinar la balanza a su favor al aumentar el costo y la dificultad para que los atacantes tengan éxito. Conocer la infraestructura y el enemigo puede proporcionar una buena concept de cómo priorizar los esfuerzos y saber qué proteger.

Barlow aconseja planificar con anticipación para que la empresa pueda lanzar un plan de respuesta y tomar decisiones rápidamente. Esto se puede hacer a través de ejercicios de inmersión, runbooks, entrenamiento de crisis a nivel ejecutivo y planes de comunicación previos a la construcción.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para ese «día realmente malo» en ciberseguridad. Haga clic para más información y para registrarse.

Kelly Sheridan es la Editora de individual de Dark Looking at, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que informó anteriormente para InformationWeek, donde cubrió Microsoft, y Coverage & Technologies, donde cubrió asuntos financieros … Ver biografía completa

Lectura recomendada:

Más suggestions





Enlace a la noticia initial