Da qualche settimana circola in rete un ransomware capace di colpire in maniera specifica anche gli ambienti ICS. È stato battezzato Ekans, dato che inizialmente è stato collegato a un malware precedente e più tradizionale denominato Snake. Ekans, infatti, è Snake con le lettere in ordine inverso. Secondo i ricercatori che lo hanno studiato in dettaglio, però, Ekans è in realtà un malware nettamente distinto da Snake.

Ekans in sé non è un ransomware particolarmente ben fatto. Semmai il contrario. Ad esempio, non cerca direttamente di propagarsi sulla rete del PC su cui si è installato. Rappresenta comunque un caso significativo, perché è il primo (o tra i primissimi) ransomware a contenere parti di codice scritte per colpire in modo specifico componenti software legati ai sistemi ICS di controllo industriale. Attenzione: Ekans ha un primato tra i ransomware, non tra i malware generici. Su questo punto torniamo più avanti.

Come ransomware, Ekans ha un funzionamento molto classico. Una volta installato sul PC-bersaglio, cifra tutti i suoi file. Dopo aver cancellato eventuali loro Shadow Copy eseguite da Windows. Infine, salva su disco un file testuale con una richiesta di riscatto. Qui si descrive cosa è successo e come ricevere il tool per la decrittazione dei file "rapiti".

La particolarità "industriale" di Ekans si esplica prima della cifratura dei file su disco. Il ransomware verifica se sul PC sono in esecuzione alcuni specifici processi collegati a software ICS. Ad esempio di GE Digital, GE Fanuc, Honeywell. Se li trova, li interrompe. Si tratta di componenti software che eseguono il monitoraggio remoto di sistemi industriali e tengono traccia delle loro operazioni. Oppure di componenti che verificano la validità delle licenze d'uso di piattaforme ICS.

La pericolosità dei malware ICS

Non è certo la prima volta che un ransomware o un altro tipo di malware colpiscono sistemi ICS. Quindi la pericolosità di Ekans va messa in rapporto a quella di altre forme di infezione.

Molti altri ransomware hanno messo in crisi, anche seria, i sistemi industriali. Ma come effetto collaterale: hanno bloccato il funzionamento di PC che, caso ha voluto, venivano usati anche come nodi di sistemi ICS. Di per sé, quei ransomware erano indifferenti rispetto al ruolo del PC colpito all'interno della sua rete. E lo sono, di norma, tutti i ransomware.

Ekans, invece, cerca di bloccare alcuni processi che sono collegati al mondo ICS. Ancora prima di svolgere il suo ruolo di ransomware cifratore. Questo indica che chi ha sviluppato Ekans punta in modo specifico al fatto che il ransomware si diffonda sulle reti ICS. O perlomeno considera questa diffusione abbastanza importante da inserirvi codice ad hoc. E ciò rappresenta una novità interessante, per il mondo ransomware.

Premesso questo, Ekans non appare particolarmente pericoloso. I processi che cerca di chiudere non sono infatti processi di controllo diretto dei sistemi industriali. C'è però la possibilità che chiudere un processo di monitoraggio impedisca di avere una visione corretta dello stato dei sistemi. E quindi portare a condizioni di criticità. Meno rilevante appare il blocco dei server che controllano la validità delle licenze. Di norma, piattaforme importanti come quelle ICS non smettono immediatamente di funzionare. Anche se non rilevano una licenza valida.

Ekans quindi non attacca i sistemi ICS in maniera particolarmente aggressiva. Questo primato spetta ai malware sviluppati ad hoc da APT ben organizzate. Come i malware Industroyer o Triton. Questi contenevano codice che interveniva direttamente sui sistemi industriali. Con lo scopo specifico di danneggiarli anche gravemente e produrre danni permanenti. Ekans semmai mette in ulteriore evidenza come la protezione dei sistemi industriali sia diventata una priorità.