SecurityOpenLab

Ekans, il ransomware pensato per i sistemi industriali ICS

Ekans è prima di tutto un ransomware, con però anche codice per la disattivazione di specifici componenti ICS

Da qualche settimana circola in rete un ransomware capace di colpire in maniera specifica anche gli ambienti ICS. È stato battezzato Ekans, dato che inizialmente è stato collegato a un malware precedente e più tradizionale denominato Snake. Ekans, infatti, è Snake con le lettere in ordine inverso. Secondo i ricercatori che lo hanno studiato in dettaglio, però, Ekans è in realtà un malware nettamente distinto da Snake.

Ekans in sé non è un ransomware particolarmente ben fatto. Semmai il contrario. Ad esempio, non cerca direttamente di propagarsi sulla rete del PC su cui si è installato. Rappresenta comunque un caso significativo, perché è il primo (o tra i primissimi) ransomware a contenere parti di codice scritte per colpire in modo specifico componenti software legati ai sistemi ICS di controllo industriale. Attenzione: Ekans ha un primato tra i ransomware, non tra i malware generici. Su questo punto torniamo più avanti.

Come ransomware, Ekans ha un funzionamento molto classico. Una volta installato sul PC-bersaglio, cifra tutti i suoi file. Dopo aver cancellato eventuali loro Shadow Copy eseguite da Windows. Infine, salva su disco un file testuale con una richiesta di riscatto. Qui si descrive cosa è successo e come ricevere il tool per la decrittazione dei file "rapiti".

american public power association aa5v6smcaly unsplashLa particolarità "industriale" di Ekans si esplica prima della cifratura dei file su disco. Il ransomware verifica se sul PC sono in esecuzione alcuni specifici processi collegati a software ICS. Ad esempio di GE Digital, GE Fanuc, Honeywell. Se li trova, li interrompe. Si tratta di componenti software che eseguono il monitoraggio remoto di sistemi industriali e tengono traccia delle loro operazioni. Oppure di componenti che verificano la validità delle licenze d'uso di piattaforme ICS.

La pericolosità dei malware ICS

Non è certo la prima volta che un ransomware o un altro tipo di malware colpiscono sistemi ICS. Quindi la pericolosità di Ekans va messa in rapporto a quella di altre forme di infezione.

Molti altri ransomware hanno messo in crisi, anche seria, i sistemi industriali. Ma come effetto collaterale: hanno bloccato il funzionamento di PC che, caso ha voluto, venivano usati anche come nodi di sistemi ICS. Di per sé, quei ransomware erano indifferenti rispetto al ruolo del PC colpito all'interno della sua rete. E lo sono, di norma, tutti i ransomware.

Ekans, invece, cerca di bloccare alcuni processi che sono collegati al mondo ICS. Ancora prima di svolgere il suo ruolo di ransomware cifratore. Questo indica che chi ha sviluppato Ekans punta in modo specifico al fatto che il ransomware si diffonda sulle reti ICS. O perlomeno considera questa diffusione abbastanza importante da inserirvi codice ad hoc. E ciò rappresenta una novità interessante, per il mondo ransomware.

trend micro smart factoryPremesso questo, Ekans non appare particolarmente pericoloso. I processi che cerca di chiudere non sono infatti processi di controllo diretto dei sistemi industriali. C'è però la possibilità che chiudere un processo di monitoraggio impedisca di avere una visione corretta dello stato dei sistemi. E quindi portare a condizioni di criticità. Meno rilevante appare il blocco dei server che controllano la validità delle licenze. Di norma, piattaforme importanti come quelle ICS non smettono immediatamente di funzionare. Anche se non rilevano una licenza valida.

Ekans quindi non attacca i sistemi ICS in maniera particolarmente aggressiva. Questo primato spetta ai malware sviluppati ad hoc da APT ben organizzate. Come i malware Industroyer o Triton. Questi contenevano codice che interveniva direttamente sui sistemi industriali. Con lo scopo specifico di danneggiarli anche gravemente e produrre danni permanenti. Ekans semmai mette in ulteriore evidenza come la protezione dei sistemi industriali sia diventata una priorità.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

f.p. - 06/02/2020

Tag: ransomware ics ekans


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore