Así es como el ransomware EKANS se dirige a los sistemas de regulate industrial


Nuevas muestras del ransomware EKANS han revelado cómo los ciberatacantes de hoy en día utilizan una variedad de métodos para comprometer a las empresas industriales clave.

en un Informe de investigación publicado el miércoles, los investigadores de FortiGuard Labs, Ben Hunter y Fred Gutiérrez, dijeron que el malware diseñado para atacar los sistemas de handle industrial (ICS) sigue siendo lucrativo para los actores de amenazas.

Si bien el ransomware solo representó aproximadamente un tercio de todos los incidentes de malware durante 2019, según el informe de violación de datos 2020 de Verizon, cuando se aplica a los sistemas centrales y críticos, como los servicios públicos y la fabricación, una infección puede ser devastadora, disruptiva y servicios clave puede sentir una presión increíble para pagar un rescate.

La familia de ransomware EKANS es una de esas cepas que se ha utilizado en campañas específicas de ICS.

Ver también: Los hackers de Triton regresan con un nuevo ataque industrial encubierto

Los investigadores pudieron obtener dos muestras modernas, una de mayo y otra compilada en junio, que revelaron algunas características interesantes.

Ambas muestras basadas en Windows están escritas en GO, un lenguaje de programación ampliamente utilizado en la comunidad de desarrollo de malware, ya que es relativamente fácil de compilar para trabajar en diferentes sistemas operativos.

Para ayudar con el análisis, FortiGuard creó un disimulador específico de EKANS, descubriendo que a pesar de una gran cantidad de errores de codificación en la versión de mayo del ransomware, de hecho, más de 1200 cadenas, el malware aún puede funcionar de manera efectiva en ataques contra Sistemas ICS.

Parece que EKANS ha sido diseñado para seleccionar deliberadamente a sus víctimas. El malware intentará confirmar su objetivo resolviendo el dominio que pertenece a una empresa víctima y comparando esta información con las listas de IP. Si no se confirma el estado del objetivo, la rutina se cierra.

Una vez que se adquiere un objetivo, el ransomware buscará controladores de dominio comprometidos.

Ambas versiones tienen la funcionalidad del ransomware típico. Una vez que aterriza en una máquina vulnerable, el malware puede cifrar archivos y mostrar una nota de rescate que exige el pago a cambio de una clave de descifrado que puede, o no, restaurar el acceso a los archivos del sistema.

Sin embargo, la muestra de junio va más allá de estas características y es capaz de una funcionalidad de alto nivel que podría causar estragos en un entorno industrial, incluida la capacidad de desactivar los firewalls del host.

CNET: Por qué su privacidad podría verse amenazada por una ley para proteger a los niños

Esta nueva adición a la funcionalidad EKANS no fue la única mejora. Para evitar las protecciones ICS existentes, el ransomware también intentará apagar el firewall antes del cifrado «probablemente para detectar AV y otras soluciones de defensa bloqueando cualquier comunicación del agente», anotaron los investigadores.

EKANS utiliza el cifrado RSA para bloquear las máquinas afectadas y pasará a un proceso que matará el alboroto, terminará cualquier sistema que pueda convertirse en una barrera para las actividades del malware y eliminará las instantáneas en el proceso para dificultar la recuperación de archivos.

Junto con el examen de este interesante malware ICS, FortiGuard también publicó una guía sobre lo que la empresa de ciberseguridad cree que son las técnicas y tácticas más actuales empleadas por los actores de amenazas industriales.

TechRepublic: Esté preparado: por qué necesita una política de respuesta a incidentes

Estos incluyen la explotación de servicios remotos, el uso de volcados de credenciales, el desplazamiento lateral a través de las redes, la desactivación o modificación de herramientas de ciberseguridad, el deterioro de las defensas al deshabilitar los registros de eventos de Windows y la modificación de políticas grupales.

En marzo, la firma de ciberseguridad FireEye advirtió que el desarrollo de malware y herramientas de piratería capaces de apuntar a ICS está en aumento, y la mayoría se desarrolló en la última década. La mayoría de las herramientas analizadas por FireEye se consideran independientes del proveedor, pero en algunos casos, el software package ha sido diseñado para comprometer las configuraciones de ICS ofrecidas por compañías específicas.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia unique