Ransomware ‘Ekans’ tem como alvo sistemas de controle industriais

Não é de hoje que cibercriminosos e seus ransomwares têm atacado sistemas de controle industriais (ICS) de diversos países. A novidade talvez seja o que pesquisadores dizem ser a primeira campanha de malware com criptografia de arquivos criada para infectar diretamente redes de computadores que controlam operações em ambientes de manufatura e serviços públicos essenciais.

Ransomware Ekans: Ambientes industriais podem estar em perigo

Ransomware 'Ekans' tem como alvo sistemas de controle industriais
Ransomware ‘Ekans’ tem como alvo sistemas de controle industriais | Fonte da imagem: https://www.hitachi-systems-security.com/ransomware/

Um novo relatório de ameaças emitido pela empresa de cibersegurança Dragos detalha as características do ransomware conhecido como Ekans. Este ransomware, também conhecido como Snake, surgiu pela primeira vez em dezembro de 2019 e foi projetado para infectar sistemas Windows utilizados em ambientes industriais.

Não é a primeira campanha de malware direcionada ao ICS: várias campanhas patrocinadas pelo governo de algum país têm tido como alvo nos últimos anos essas instalações. Os pesquisadores concluíram que o Ekans parece ser o resultado de uma operação executada por cibercriminosos que estão se aventurando em “terras industriais”, representando “um risco único e específico para as operações industriais que não foi observado anteriormente nas campanhas de ransomware”.

Os pesquisadores também descobriram que o Ekans contém uma lista de comandos e processos associados a várias funcionalidades específicas do sistema de controle industrial destinadas a interromper essas funções durante um ataque de ransomware. Olha o perigo.

Embora essa funcionalidade tenha limitações, a análise dos pesquisadores do Ekans observou que ela ainda representa “uma evolução muito preocupante no que diz respeito a malware destinado ao ICS”, porque mostra que os cibercriminosos agora estão direcionando seus ataques para ambientes industriais a fim de obter ganhos financeiros.

Como o Ekans funciona?

Ransomware 'Ekans' tem como alvo sistemas de controle industriais
Ransomware ‘Ekans’ tem como alvo sistemas de controle industriais| Fonte da imagem: https://www.vadesecure.com/en/ransomware-protection-ebook/

Os arquivos criptografados são renomeados para uma extensão de arquivo aleatória de cinco caracteres, enquanto isso as vítimas recebem uma nota de resgate contendo um endereço de e-mail para entrar em contato a fim de negociar um valor a ser pago em criptomoedas.

Para implantar o ransomware, os autores do Ekans precisam comprometer a rede da vítima antes de executar o ataque. Isso segue a mesma tendência das variantes de ransomware, como Ryuk e Megacortex, que se baseiam em um método prático de implantação, em vez da tradicional autopropagação realizada por outras formas de ransomware.

O modo pelo qual o Ekans foi projetado para direcionar a campanha para o ICS indica que os atacantes têm em mente alvos específicos, portanto é provável que demorem um certo tempo comprometendo os alvos que são relevantes para seus planos.

O documento da Dragos observa ainda que o Ekans teria uma ligação com o ransomware Megacortex, pois enquanto a lista de processos direcionados pelo Ekans é relativamente curta, com apenas 64, cada um deles é direcionado por versões mais recentes do Megacortex. Aponta ainda para possibilidade de o Megacortex também poder ser implantado por esse tipo de ataque.

A natureza específica dos processos do ICS direcionados indica uma ousadia em evolução”, disse ao site ZDNet, Joe Slowik, principal caçador de ameaças na Dragos.

Embora não seja deliberadamente destrutivo, a falta de contexto e os problemas do ambiente da vítima podem significar que o Ekans ou qualquer outro malware semelhante que encerre processos de sistemas industriais possa causar um efeito físico apenas pela simples negligência. Aceitar essa possibilidade é profundamente preocupante”.

Alguns relatórios ligaram o Ekans ao Irã, mas após a análise do malware, a Dragos concluiu que “não há evidências fortes ou convincentes” que liguem esta campanha aos interesses estratégicos iranianos.

Como empresas do ramo industrial poderão se proteger?

Ransomware ‘Ekans’ tem como alvo sistemas de controle industriais | Fonte: https://beyondstandards.ieee.org/cybersecurity/global-open-standards-for-cyber-security/

Atualmente não está totalmente claro como o Ekans é disseminado, mas para se proteger contra ataques de ransomware, recomenda-se que os sistemas de ICS sejam isolados do restante da rede. Portanto, mesmo que uma máquina Windows padrão seja comprometida, um invasor não poderá ter acesso a rede onde estão os sistemas que controlam a infraestrutura industrial.

As organizações também devem garantir que os sistemas sejam regularmente copiados e armazenados off-line; já para as operações do ICS em particular, os backups devem incluir os últimos dados que contêm uma boa configuração conhecida, a fim de garantir uma ágil restauração.

As organizações do ramo industrial e similares, devem ajustar seus perfis de ameaça para incluir prováveis tentativas deliberadas de extorsão financeira, além de impedir a execução do ataque diretamente nos ambientes industriais.

Slowik (Dragos)

Essas organizações devem trabalhar diligentemente para reduzir sua superfície de ataque por meio de uma melhor segmentação de rede, mecanismos aprimorados de acesso e autenticação, enquanto aumentam a visibilidade das redes industriais para identificar ataques antes que eles realmente ocorram”, afirmou ele.

Fonte:

https://www.zdnet.com/article/ransomware-attacks-are-now-targeting-industrial-control-systems/

Avatar

O Analista

https://www.oanalista.io

Adoro letras verdes sob um fundo preto...