Wyspecjalizowany ransomware atakuje systemy kontroli przemysłowej

Dragos twierdzi, że Ekans reprezentuje "głęboko niepokojącą" ewolucję szkodliwego oprogramowania atakującego ICS. Podczas gdy złośliwe oprogramowanie, specyficzne dla ICS lub związane z ICS, było wyłącznie placem zabaw podmiotów sponsorowanych przez państwo, wydaje się, że teraz zaangażowane w tę przestrzeń są, dążące do zysków finansowych, elementy niepaństwowe, nawet jeśli tylko na bardzo prymitywnym poziomie - wskazują analitycy.

Oprogramowanie ransomware już wcześniej miało wpływ na środowiska ICS, ale w formie złośliwego kodu skoncentrowanego na IT, który rozprzestrzeniał się w środowiskach kontrolnych za pośrednictwem systemów korporacyjnych. Nowe szkodliwe oprogramowanie zostało zaprojektowane specjalnie pod kątem ICS opartego na systemie Windows i zawiera między innymi odniesienia do systemu archiwizacji danych GE Proficy, aplikacji HMIWeb firmy Honeywell i pakietu łącznościowego ThingWorx firmy PTC.

Szkodliwe oprogramowanie ma na celu zakończenie 64 różnych procesów. Po prostu zatrzymuje je i nie można wprowadzać poleceń ani manipulować procesami ICS w żaden sposób, ale według firmy Dragos może spowodować utratę widoczności sieci. Po zaszyfrowaniu pliki są zmieniane przez dodanie pięciu losowych znaków do oryginalnego rozszerzenia pliku. Następnie Ekans umieszcza notatkę z okupem w katalogu głównym dysku systemowego i na pulpicie.

W przeciwieństwie do niektórych bardziej szkodliwych form ransomware'u, Ekans nie uruchamia się ponownie, nie zamyka systemu ani kanałów dostępu zdalnego. Nie ma wbudowanego mechanizmu propagacji ani rozprzestrzeniania - aby zainfekować hosta należy go uruchomić interaktywnie lub za pomocą skryptu.

Dragos twierdzi, że poziom wpływu Ekans na środowisko przemysłowe jest niejasny. Wskazuje jednak, że ukierunkowanie na systemy archiwizacyjne i procesy gromadzenia danych zarówno na poziomie klienta, jak i serwera, generuje znaczne koszty dla danej organizacji i może zakłócać funkcje monitorowania.

Mniej wyraźny jest wpływ zakończenia procesów serwerowych i HMI. Szkodliwe oprogramowanie wpływa na mechanizmy sprawdzające czy klient zapłacił za licencje na oprogramowanie. Inne procesy mogą umożliwić awarie lub "okresy karencji" dla licencyjnych serwerów, umożliwiając kontynuowanie operacji przez pewien czas bez systemu zarządzania licencjami.

Niemniej jednak, jak twierdzą badacze, niepewność jest "nie do przyjęcia", biorąc pod uwagę ryzyko nieumyślnej utraty kontroli. W rezultacie ostrzegają, że Ekans (i jego domniemany rodzic, zwany Megacortex) "stanowią wyjątkowe i specyficzne ryzyko dla operacji przemysłowych, których wcześniej nie zaobserwowano w operacjach oprogramowania ransomware".

Mimo, że w nagłych wypadkach niektóre organizacje będą w stanie powrócić do operacji ręcznych, koszty i nieefektywność takich działań będą znaczne. Według analityków Dragos, Ekans i jego protoplasta "tworzą konkretne i unikalne scenariusze ryzyka oraz kosztów dla środowisk przemysłowych".

Pojawiły się sugestie, że Ekans mógł pochodzić z Iranu, ale badacze twierdzą, że każdy taki związek jest "niewiarygodnie wątły", dodając, że "nie ma silnych lub przekonujących dowodów na powiązanie ransomware'u Ekans ze strategicznymi interesami Iranu".

Obecnie Dragos nie wie, jak Ekans dystrybuuje się w sieciach ofiar. Dodaje, że podstawową obroną przed takim oprogramowaniem ransomware jest przede wszystkim zapobieganie rozprzestrzenianiu przez sieć. Sugerują oni na swoim blogu różne techniki minimalizowania ryzyka infiltracji ICS przez Ekans.

W konkluzji Dragos mówi, że ponieważ wdrożenie Ekans jest "niezwykle prymitywne" i ma nieokreślony wpływ na operacje przemysłowe, "jest bardziej nowością niż wyodrębnionym i niepokojącym ryzykiem". Pomimo ograniczonych funkcji, stanowi "głęboko niepokojącą" ewolucję cyberzagrożeń wymierzonych w systemy kontroli. W przeciwieństwie do poprzednich szkodliwych programów atakujących ICS, za których działania obwiniano organizacje sponsorowane przez państwa, Ekans wydaje się pokazywać, że w grę wchodzą również szukający korzyści finansowych przestępcy.

Badacze ostrzegają, że obowiązkiem właścicieli i operatorów ICS jest wyciąganie wniosków nie tylko z tego, jak działa Ekans, ale także z wielu sposobów, w jaki złośliwe oprogramowanie może się rozprzestrzeniać i rozpowszechniać w systemach kontroli. Poza tym naturalnie, powinni oni opracowywać odpowiednie strategie obrony.