Эксперты рассказали о технике атак операторов вымогателя EKANS на АСУ ТП
3 июля 2020 года
Специалисты Бен Хантер (Ben Hunter) и Фред Гутьеррес (Fred Gutierrez) из FortiGuard Labs компании Fortinet провели анализ новых образцов вымогательского ПО EKANS (также известного как Snake). Как сообщили эксперты, операторы вымогателя используют различные методы для компрометации автоматизированных систем управления ключевых промышленных компаний.
Исследователям удалось проанализировать два образца вредоноса, один из которых был создан в мае, а другой в июне нынешнего года. Оба образца написаны на языке программирования GO, широко используемом в сообществе разработчиков вредоносных программ, поскольку его относительно легко компилировать для работы на разных операционных системах.
Эксперты обнаружили огромное количество ошибок кодирования в майской версии вымогателя, но, несмотря на это, вредоносное ПО все еще способно эффективно осуществлять атаки на АСУ ТП. Предположительно, EKANS был разработан для осуществление атак на определенные цели. Вредоносное ПО сначала пытается подтвердить свою цель, проверяя домен, принадлежащий компании-жертве, и сравнивая данную информацию со списками IP-адресов. Если жертва не соответствует списку целей, процедура завершается.
Обе версии выполняют функции обычного вымогателя — оказавшись на уязвимом устройстве, вредоносная программа начинает шифровать файлы и создает уведомление о выкупе с требованием оплаты в обмен на доступ к данным.
Тем не менее, июньская версия выходит за рамки этих возможностей и обладает высокоуровневыми функциями, способными нанести ущерб промышленным системам, включая возможность отключения межсетевых экранов. Данное изменение в функциональности EKANS было не единственным. Вымогатель также пытается отключить межсетевой экран перед шифрованием с целью обойти любые существующие средства защиты АСУ ТП. Как полагают специалисты, «таким образом вредонос пытается обнаружить антивирусные решения и другие средства защиты».
EKANS использует алгоритм шифрования RSA (аббревиатура от фамилий его создателей Rivest, Shamir и Adleman) для блокировки уязвимых компьютеров и любых систем, которые могут стать препятствием для деятельности вредоноса, а также удаляет теневые копии для затруднения восстановление файлов.
Источники править
Эта статья содержит материалы из статьи «Эксперты рассказали о технике атак операторов вымогателя EKANS на АСУ ТП», опубликованной на сайте SecurityLab.ru и распространяющейся на условиях лицензии Creative Commons Attribution 3.0 Unported (CC-BY 3.0 Unported). |
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.