Un nuevo informe de inteligencia sobre amenazas ha subrayado la grave amenaza que representa el descubrimiento reciente Serpiente ransomware, que no solo cifra los archivos, sino que también puede alterar ciertos procesos de sistemas de controles industriales.
Firma de seguridad ICS Dragos emitió el informe de publicación de blog ayer después de compartirlo inicialmente en privado con su clientela a mediados de enero. Dragos se refiere al ransomware como Ekans (Serpiente al revés), y dijo que su equipo observó por primera vez la amenaza el 6 de enero, aunque el MalwareHunterTeam había sido previamente acreditado con su descubrimiento
Aunque el programa Go-language es bastante primitivo y tiene una funcionalidad limitada, no obstante "representa una evolución relativamente nueva y profundamente preocupante en el malware dirigido a ICS", dijo Dragos en su publicación. "Mientras que anteriormente el malware específico de ICS o relacionado con ICS era únicamente el campo de juego de entidades patrocinadas por el estado, Ekans parece indicar que los elementos no estatales que persiguen ganancias financieras ahora también están involucrados en este espacio ..."
A medida que cifra los archivos, el ransomware agrega una cadena aleatoria de cinco caracteres a la extensión y luego, dentro de cada archivo, agrega el marcador de archivo "EKANS" (de ahí el nombre Snake o Ekans). También elimina las instantáneas y envía a la víctima una nota de rescate con una dirección de correo electrónico para contactar. Pero en un giro inusual, también mata los procesos nombrados relacionados con las soluciones ICS y los sistemas SCADA, entre otros procesos, lo que significa que los entornos OT también están en riesgo.
Dragos nombra los diversos sistemas cuyos procesos están dirigidos por Ekans, incluido el historiador de datos Proficy de GW, los servicios del servidor de licencias GE Fanuc, la aplicación HMIWeb de Honeywell, los administradores de licencias FLEXNet y Sentinel HASP y ThingWorx Industrial Connectivity Suite. Otros procesos de destino corresponden a máquinas virtuales, herramientas de administración remota y otras soluciones.
“… [A] pesar de que el ransomware ha victimizado previamente los entornos de ICS, los eventos anteriores cuentan con ransomware centrado en TI que se propaga a los entornos del sistema de control mediante mecanismos empresariales. De lo contrario, el ransomware específico de ICS ha incluido principalmente pruebas académicas de conceptos o trucos de marketing que representan el corpus de actividad ".
Dragos también dice que ha descubierto una conexión entre Ekans y Megacorteza ransomware, que apareció por primera vez en enero de 2019 y surgió como una gran amenaza. Según el informe, una variante más nueva de Megacortex que debutó a mediados de 2019 (detallada por Accenture) demuestra una actividad similar de eliminación de procesos y también hace referencia a procesos específicos de ICS.
Si bien Ekans apunta solo a 64 procesos, la variante de Megacortex alude a más de 1,000 artículos en total, muchos relacionados con soluciones de seguridad. Esto incluye todos los objetivos de Ekans, lo que sugiere que Ekans es una variante basada en la actividad previa de Megacortex ”, concluye Dragos.
En su informe, Dragos afirma que cualquier especulación de la industria de que Ekans está vinculado a la actividad de piratas informáticos iraníes es increíblemente tenue según la evidencia disponible. La compañía también sugiere una serie de mitigaciones para limitar el riesgo de una infección de Ekans.
