Co to jest Ekans?
EKANS (Snake czytane wspak) pojawił się po raz pierwszy w grudniu 2019 roku i jest zjednej strony relatywnie prostym oprogramowaniem szyfrującym dane, z drugiej zaś ma unikalną funkcjonalność umożliwiającą samodzielne zamykanie procesów działających na zainfekowanych komputerach. Wśród tych ostatnich są procesy związane z przemysłowymi systemami sterowania – m.in. takimi jak GE Proficy, ThingWorx czy Honeywell HMI, oraz związanych z systemami IoT.
Działanie malware Ekans
Oprogramowanie napisane w języku Go atakuje systemy przemysłowe z systemem Windows. W pierwszej kolejności Ekans sprawdza czy w komputerze ofiary jest wartość Mutex. Jeśli tak to ransomware zatrzymuje się z komunikatem „już zaszyfrowane”. W przeciwnym razie ustawiana jest wartość Mutex i kontynuowane jest szyfrowanie przy użyciu standardowych bibliotek szyfrowania. Po zaszyfrowaniu plików, zmienia ich nazwy, a następnie wysyła do właściciela e-mail z żądaniem okupu za odkodowanie. Program jest prosty w porównaniu do innych tego typu jednak nowum jest tu fakt, że szyfruje on pliki systemów służących do kontroli pracy maszyn i instalacji technologicznych, w efekcie powodując wyłączenia oraz straty producentów.
Mechanizmy propoagacji
EKANS nie ma wbudowanych mechanizmów samodzielnej propagacji więc musi być ręcznie przesyłany do atakowanego środowiska. Głównym sposobem są linki i załączniki rozsyłane drogą mailową.
EKANS na cel bierze całą sieć, a nie konkretne urządzenia lub systemy, dlatego jest tak agresywnym ransomware’m. Po zaszyfrowaniu danych atakujący wysyłają komunikat z żądaniem okupu oraz ofertą odkodowania kilku plików w celu udowodnienia działania.
Atak na Hondę
9 czerwca 2020 roku hakerzy przy pomocy ransomware EKANS zaatakowali fabryki Hondy w Ohio oraz w Turcji co spowodowało wstrzymanie produkcji. Honda nie ujawniła jak mocno atak wpłynął na produkcję, ale nie był to pierwszy przypadek kiedy ten producent samochodów zderzył się z cyberprzestępcami. W 2017 roku Honda padła ofiarą ataku ransomware WannaCry, który również miał wpływ na produkcję.
Jak się chronić?
Ataki na infrastrukturę przemysłową stają się coraz częstsze i wyrafinowane. Sposoby działania złośliwego oprogramowania ewoluują bardzo szybko. Wydaje się, że najlepszym sposobem ochrony są systemy z wbudowanym mechanizmem AI, które potrafią rozpoznać najbardziej subtelne próby zagrożeń. Na przykład NDR nauczony standardowej komunikacji w sieci może zapobiec próbom wyłączenia procesów.
Wnioski
Atak na Hondę i ransomware EKANS udowadnia również, że w zakresie cyberbezpieczeństwa potrzebne jest holistyczne podejście. Ochrona sieci, maili, urządzeń końcowych czy aplikacji oraz szkolenia pracowników z zakresu cyberbezpieczeństwa powinny być ze sobą sprzężone i połączone. Tylko w ten sposób firmy mogą być jeden krok przed cyberprzestępcami.