Вирус-вымогатель EKANS прицелился на системы ICS

Вирус-вымогатель EKANS прицелился на системы ICS

Исследователи вредоносного ПО Unit 42 Palo Alto Networks недавно наблюдали за деятельностью вымогателей EKANS («Snake», если читать наоборот), которые затрагивают несколько отраслей промышленности в США и Европе. 

EKANS, который впервые совершил атаку в январе 2020 года, ведет себя как типичный вымогатель, поскольку он в первую очередь пытается зашифровать ваши файлы и затем требовать выкуп. Хотя EKANS не нацелен специально на шифрование файлов, стоит отметить, что он имеет некоторые интересные особенности, которые отличают его от других вымогателей. Вирус-вымогатель EKANS написан на Golang и содержит статический «список уничтожений», который останавливает многочисленные процессы и службы антивирусных и промышленных систем управления (ICS). После завершения процессов теневые копии затем удаляются, чтобы деактивировать все функции восстановления. Как и многие семейства вредоносных программ, этот вирус пытается зашифровать ресурсы, которые подключены к компьютеру жертвы по сети.

После шифрования файлов EKANS не следует за единообразным расширением файла, как другие активные вымогатели. Вместо этого, EKANS изменяет расширение файла до пяти случайных символов. Это может быть попыткой вымогателей избежать мгновенного обнаружения, просто взглянув на расширения файлов. Один из способов выявления заражения EKANS - поиск в конце файла шестнадцатеричной строки, добавленной вымогателем.

Основным вектором атаки, используемым в настоящее время EKANS, являются фишинговые вложения. Политики блокировки файлов и защиты открытого порта протокола удаленного рабочего стола (RDP) предотвращают проникновение вредоносных программ в сеть. Мы рекомендуем владельцам активов ICS проверять свою защиту от вредоносных программ, таких как EKANS, чтобы не нарушать работу ICS. Операторы EKANS, похоже, уделяют особое внимание различным отраслям, включая энергетику, архитектурные бюро, здравоохранение, транспорт и производство.

EKANS является относительно новым вымогателем, и Palo Alto Networks все еще продолжает исследовать угрозу, направленную на уязвимые предприятия с целью получения финансовой выгоды. Одним из главных векторов проникновения вирусов-вымогателей являются незащищенные RDP-порты. Palo Alto Networks рекомендуют всегда закрывать эти порты, если вы не используете их в данный момент, или защищать их.

Владельцы активов ICS должны особенно знать об этом вымогателе, так как он пытается уничтожить процессы, связанные с ICS, поэтому рекомендуется пересмотреть свое состояние безопасности против этой угрозы.

Платформа предотвращения угроз Palo Alto Networks с WildFire и Cortex XDR помогает обнаружить активность, связанную с этим вымогателем. Клиенты также могут использовать AutoFocus для просмотра действий, связанных с этим типом угроз, со следующим «тегом»: EKANS. 

Иточник: https://unit42.paloaltonetworks.com/threat-assessment-ekans-ransomware/