Ransomware Ekans i atak na Hondę

Co to jest Ekans?

EKANS (Snake czytane wspak) pojawił się po raz pierwszy w grudniu 2019 roku i jest zjednej strony relatywnie prostym oprogramowaniem szyfrującym dane, z drugiej zaś ma unikalną funkcjonalność umożliwiającą samodzielne zamykanie procesów działających na zainfekowanych komputerach. Wśród tych ostatnich są procesy związane z przemysłowymi systemami sterowania – m.in. takimi jak GE Proficy, ThingWorx czy Honeywell HMI, oraz związanych z systemami IoT.

Działanie malware Ekans

Oprogramowanie napisane w języku Go atakuje systemy przemysłowe z systemem Windows. W pierwszej kolejności Ekans sprawdza czy w komputerze ofiary jest wartość Mutex. Jeśli tak to ransomware zatrzymuje się z komunikatem „już zaszyfrowane”. W przeciwnym razie ustawiana jest wartość Mutex i kontynuowane jest szyfrowanie przy użyciu standardowych bibliotek szyfrowania. Po zaszyfrowaniu plików, zmienia ich nazwy, a następnie wysyła do właściciela e-mail z żądaniem okupu za odkodowanie. Program jest prosty w porównaniu do innych tego typu jednak nowum jest tu fakt, że szyfruje on pliki systemów służących do kontroli pracy maszyn i instalacji technologicznych, w efekcie powodując wyłączenia oraz straty producentów.

Mechanizmy propoagacji

EKANS nie ma wbudowanych mechanizmów samodzielnej propagacji więc musi być ręcznie przesyłany do atakowanego środowiska. Głównym sposobem są linki i załączniki rozsyłane drogą mailową.
EKANS na cel bierze całą sieć, a nie konkretne urządzenia lub systemy, dlatego jest tak agresywnym ransomware’m. Po zaszyfrowaniu danych atakujący wysyłają komunikat z żądaniem okupu oraz ofertą odkodowania kilku plików w celu udowodnienia działania.

Atak na Hondę

9 czerwca 2020 roku hakerzy przy pomocy ransomware EKANS zaatakowali fabryki Hondy w Ohio oraz w Turcji co spowodowało wstrzymanie produkcji. Honda nie ujawniła jak mocno atak wpłynął na produkcję, ale nie był to pierwszy przypadek kiedy ten producent samochodów zderzył się z cyberprzestępcami. W 2017 roku Honda padła ofiarą ataku ransomware WannaCry, który również miał wpływ na produkcję.

Jak się chronić?

Ataki na infrastrukturę przemysłową stają się coraz częstsze i wyrafinowane. Sposoby działania złośliwego oprogramowania ewoluują bardzo szybko. Wydaje się, że najlepszym sposobem ochrony są systemy z wbudowanym mechanizmem AI, które potrafią rozpoznać najbardziej subtelne próby zagrożeń. Na przykład NDR nauczony standardowej komunikacji w sieci może zapobiec próbom wyłączenia procesów.

Wnioski

Atak na Hondę i ransomware EKANS udowadnia również, że w zakresie cyberbezpieczeństwa potrzebne jest holistyczne podejście. Ochrona sieci, maili, urządzeń końcowych czy aplikacji oraz szkolenia pracowników z zakresu cyberbezpieczeństwa powinny być ze sobą sprzężone i połączone. Tylko w ten sposób firmy mogą być jeden krok przed cyberprzestępcami.