ekans ransomware italia

Ekans ransomware: il virus iraniano che fa chiudere i battenti di aziende e ospedali in tutto il mondo

Capita raramente di trovarsi di fronte a malware industriali.
Eppure, in più di 10 anni di esperienza cyber security abbiamo constatato che quando un ransomware industriale infetta un’azienda, la fa andare in tilt.

Ekans Ransomware ha già avuto effetti catastrofici colpendo industrie nucleari in Iran e causando un vero e proprio back-out dei sistemi in un’azienda ucraina: per cui, imprenditori e IT Manager fate attenzione, l’ondata malware Ekans si muove in direzione Italia.

pericolo malware industriali ekans

Tra le nostre Ransomware news spunta il nome di una nuova minaccia che fino ad ora non avevamo mai incontrato. Sappiamo con estrema certezza che questa volta non si tratta di un comune ransomware come CryptoLocker, CryptoWall o Snatch.

Ekans Ransomware: quando è nato e di cosa si tratta?

Ekans ransomware – il virus viene scoperto per la prima volta intorno alla metà del 2019 ma i primi SOC iniziano a studiarlo solo agli esordi del 2020: si tratta di un virus di nuovissima generazione. Ekans in un primo momento si presenta come un normale crypto virus tuttavia alcune delle sue caratteristiche lo rendono sin da subito oggetto di particolari attenzioni.

Ekans ha fatto i compiti a casa e si è deciso a restringere il suo obiettivo ad una specifica categoria di sistemi: macchine industriali e processi di machine learning. Molte delle sue funzionalità infatti riguardano proprio meccanismi volti a forzare l’arresto dei processi industriali.

Ebbene sì, Ekans pare essere il primo ransomware progettato appositamente per colpire applicazioni software collegate ai sistemi ICS di controllo industriale

Malware Ekans e modus operandi: che cosa fa?

Proprio come te, ogni mattina, quando sorge il sole, Ekans Ransomware esce di casa e si dirige verso il suo luogo di lavoro. Entra in ufficio e si mette subito all’opera. Il suoi compiti ransomware consistono in:

  • trovare una vittima che lo soddisfi
  • sganciare la sua bomba infettiva
  • manomettere i sistemi di machine learning (ICS)
  • crittografare tutti i dati in essi contenuti
  • chiedere il riscatto

Tra i compiti di questo malware, fondamentale è il passaggio della manomissione delle macchine industriali dell’azienda colpita. Ci spieghiamo meglio, i normali Ransomware scelgono un’azienda obiettivo e semplicemente criptano i file ai quali riescono ad accedere.

Nello specifico, Ekans ha acquisito un’abilità, una skill in più: è in grado non solo di identificare i process di machine learning, è addirittura in grado di interromperne l’opera. Nello specifico sono stati identificati 64 processi machine learning colpiti (come l’interfaccia uomo/macchina di Honeywell e il software industriale Proficy Historian di General Electric).

Capite?

La differenza è sottile, i risultati sono di gran lunga più spietati.
Fino ad ora, nessun attacco ransomware era mai riuscito a interrompere un sistema industriale.

Ekans Ransomware e il suo target Market

Potremmo paragonare il virus Ekans ad un qualsiasi specialist delle nostre aziende. Il team americano che l’ha scoperto l’ha definito un ransomware primitivo, potenzialmente pericoloso ma non ancora in grado di portare a termine con facilità tutti gli attacchi sferrati.

Nelle aziende nelle quali il ransomware è riuscito a diffondersi ha causato ingenti danni, eppure il sistema ransomware di Ekans presenta ancora oggi diverse falle.

In termini tecnici (e sono gli unici che useremo in questo articolo) sappiamo che affinché Ekans malware riesca a fermare tutte le operazioni di machine learning e cifrare i dati della macchina industriale è essenziale che vi sia una persona fisica a eseguirlo. Ekans viene diffuso tramite file eseguibili update.exe o ekans.exe o addirittura eseguito da remoto tramite script. Ci dev’essere una persona fisica, dall’altro lato del pc che diriga le operazioni: e questo rappresenta un grosso limite.

Ergo, siamo ancora agli albori di una nuova generazione ransomware, che possiamo definire come Generazione Z Ransomware.

E’ una buona notizia?

No, come accade nel nostro settore, anche il cyber-crime sviluppa nuovi attacchi, li genera, li testa e se funzionano, li affina. Possiamo dire che ci avviciniamo a grandi passi verso un futuro fatto di ICS attack, grazie ai quali sarà possibile non solo prendere di mira computer, tablet o smartphone ma addirittura macchine a controllo numerico, sistemi di automazione, infrastrutture strategiche e tutto ciò che riguarda il processo produttivo di un’azienda.

Ekans Ransomware, come difendersi

Nel 2019 Ekans è rientrato di diritto tra i ransomware di nuova generazione più pericolosi. Si tratta di un virus recente e unico perché attacca le ICS dei processi industriali. Un attacco di questo ransomware può concludersi con effetti devastanti per l’azienda.

Di seguito, alcuni metodi con i quali potete prevenire gli attacchi ransomware.

Onorato Informatica Srl, azienda specializzata in sicurezza informatica e certificata ISO 9001 e ISO 27001, consiglia sempre alle aziende di implementare quanto prima un efficace sistema di monitoraggio Vulnerability Assessment.

Un Vulnerability Assessment aiuta un azienda a tenere traccia del livello di sicurezza del sistema informatico in modo continuativo. Così facendo i tecnici informatici interni possono intervenire con estrema precisione in caso di vulnerabilità gravi rilevate.

Inoltre, per la protezione totale del sistema informatico da attacchi di tipo ransomware Ekans, è necessario implementare la protezione perimetrale della rete interna.

Ad ogni modo, ogni azienda è un mondo a sé. Infatti, la migliore protezione anti ransomware si adatta alle caratteristiche della sua struttura informatica.

ekans ransomware crittografia

Aggiornamenti Ekans Ransomware 2020

Ekans Ransomware – Giugno 2020

In questi giorni di rientro in attività delle aziende italiane, l’azione degli hacker web non si è certo fatta attendere.

Questa volta il virus Ekans ha preso di mira due aziende estremamente strutturate del nostro territorio, a poche ore di distanza l’una dall’altra: Enel e Honda. 

Enel ha prontamente seguito tutti gli step fondamentali per l’isolamento della rete aziendale. In questo caso il virus ha causato il blocco del sistema informatico e alcuni disservizi nelle attività di customer care per una sola notte. Fortunatamente il virus non è riuscito ad arrivare agli impianti di distribuzione e alle centrali elettriche della società. Sappiamo con certezza che Ekans ransomware normalmente mira proprio alle macchine industriali (ICS).

Nel caso di Honda, l’azienda non può dirsi altrettanto fortunata poiché Ekans/Snake ransomware è riuscito a bloccare parte della produzione industriale.

Ekans ransomware blocca la produzione Honda

ekans ransomware honda

In questo caso l’azione del malware Ekans è stata di gran lunga più efferata e determinata al raggiungimento dei robot industriali. Il virus ha infatti congelato per diverse ore sia i computer presenti nella sezione Honda Customer Service e Honda Financial Services. La società ha emanato un comunicato ufficiale sui principali profili social dell’azienda.

Non contento, Ekans gioca alla società l’ennesimo brutto scherzo. L’azienda ha temporaneamente vietato l’accesso ai dipendenti in alcune sedi in Europa e negli Stati Uniti e ha bloccato la produzione per un tempo ancora non ben specificato dall’azienda.

Il blocco della produzione deciso dalla casa madre è dovuto ai controlli ai sistemi ICS. I robot industriali connessi alla rete devono essere sottoposti a controllo informatico immediato dopo un attacco ransomware Ekans.

Al momento attuale Honda dichiara che Ekans Ransomware non ha provocato fuoriuscita di dati aziendali e che la superficie attaccata dal virus parrebbe essere un server interno (infettato da un vettore esterno).

CONTATTA ONORATO INFORMATICA

Onorato Informatica è un’azienda informatica di Mantova. Siamo specializzati in sicurezza informatica da oltre 10 anni. Onorato Informatica è un’azienda certificata ISO 9001 e ISO 27001 con oggetto la difesa dalle aziende dagli attacchi informatici e implementazione di servizi di Vulnerability Assessment e Penetration Testing continuativi.

Contattaci per avere le giuste informazioni sulla tua infrastruttura informatica.

CONTATTACI