Вірус-вимагач EKANS націлився на системи ICS
Дослідники шкідливого ПЗ Unit 42 Palo Alto Networks нещодавно спостерігали за діяльністю здирників EKANS («Snake», якщо читати навпаки), які торкаються кількох галузей промисловості в США та Європі.
EKANS, який вперше здійснив атаку в січні 2020 року, веде себе як типовий здирник, оскільки він насамперед намагається зашифрувати ваші файли і потім вимагати викуп. Хоча EKANS не орієнтований спеціально на шифрування файлів, варто відзначити, що він має деякі цікаві особливості, які відрізняють його від інших здирників. Вірус-вимагач EKANS написаний на Golang та містить статичний «список знищень», який зупиняє численні процеси та служби антивірусних та промислових систем управління (ICS). Після завершення процесів тіньові копії потім видаляються, щоб деактивувати всі функції відновлення. Як і багато сімейства шкідливих програм, цей вірус намагається зашифрувати ресурси, які підключені до комп'ютера жертви через мережу.
Після шифрування файлів EKANS не слідує за одноманітним розширенням файлу, як інші активні здирники. Натомість, EKANS змінює розширення файлу до п'яти випадкових символів. Це може бути спробою здирників уникнути миттєвого виявлення, просто глянувши на розширення файлів. Один із способів виявлення зараження EKANS - пошук в кінці файлу шістнадцяткового рядка, доданого здирником.
Основним вектором атаки, що використовується зараз EKANS, є фішингові вкладення. Політики блокування файлів та захисту відкритого порту протоколу віддаленого робочого столу (RDP) запобігають проникненню шкідливих програм у мережу. Ми рекомендуємо власникам активів ICS перевіряти захист від шкідливих програм, таких як EKANS, щоб не порушувати роботу ICS. Оператори EKANS, схоже, приділяють особливу увагу різним галузям, включаючи енергетику, архітектурні бюро, охорону здоров'я, транспорт та виробництво.
EKANS є відносно новим вірусом-здирником, і Palo Alto Networks все ще продовжує досліджувати загрозу, спрямовану на вразливі підприємства з метою отримання фінансової вигоди. Одним із головних векторів проникнення вірусів-здирників є незахищені RDP-порти. Palo Alto Networks рекомендують завжди закривати ці порти, якщо ви не використовуєте їх на даний момент, або захищати їх.
Власники активів ICS повинні особливо знати про цього здирника, оскільки він намагається знищити процеси, пов'язані з ICS, тому рекомендується переглянути свій стан безпеки проти цієї загрози.
Платформа запобігання загрозам Palo Alto Networks з WildFire і Cortex XDR допомагає виявити активність, пов'язану з цим здирником. Клієнти також можуть використовувати AutoFocus для перегляду дій, пов'язаних з цим типом загроз, з наступним тегом: EKANS.
Джерело: unit42.paloaltonetworks