ekans ransomware italia

Ekans: il ransomware iraniano che fa chiudere i battenti di aziende e ospedali in tutto il mondo

Capita raramente di trovarsi di fronte a malware industriali.
Eppure, in più di 10 anni di esperienza cyber security abbiamo constatato che quando un ransomware industriale infetta un’azienda, la fa andare in tilt. Ekans Ransomware ha già avuto effetti catastrofici colpendo industrie nucleari in Iran e causando un vero e proprio back-out dei sistemi in un’azienda ucraina: per cui, imprenditori e IT Manager fate attenzione, l’ondata malware Ekans si muove in direzione Italia.

pericolo malware industriali ekans

Tra le nostre Ransomware news spunta il nome di una nuova minaccia che fino ad ora non avevamo mai incontrato. Sappiamo con estrema certezza che questa volta non si tratta di un comune ransomware come CryptoLocker, CryptoWall o Snatch.

Ekans ha fatto i compiti a casa e si è deciso a restringere il suo obiettivo ad una specifica categoria di sistemi: macchine industriali e processi di machine learning.

Malware Ekans e modus operandi: che cosa fa?

Proprio come te, ogni mattina, quando sorge il sole, Ekans Ransomware esce di casa e si dirige verso il suo luogo di lavoro. Entra in ufficio e si mette subito all’opera. Il suoi compiti ransomware consistono in:

  • trovare una vittima che lo soddisfi
  • sganciare la sua bomba infettiva
  • manomettere i sistemi di machine learning (ICS)
  • crittografare tutti i dati in essi contenuti
  • chiedere il riscatto

Tra i compiti di questo malware, fondamentale è il passaggio della manomissione delle macchine industriali dell’azienda colpita. Ci spieghiamo meglio, i normali Ransomware scelgono un’azienda obiettivo e semplicemente criptano i file ai quali riescono ad accedere.

Nello specifico, Ekans ha acquisito un’abilità, una skill in più: è in grado non solo di identificare i process di machine learning, è addirittura in grado di interromperne l’opera. Nello specifico sono stati identificati 64 processi machine learning colpiti (come l’interfaccia uomo/macchina di Honeywell e il software industriale Proficy Historian di General Electric).

Capite? La differenza è sottile, i risultati sono di gran lunga più spietati.
Fino ad ora, nessun attacco ransomware era mai riuscito a interrompere un sistema industriale.

Ekans Ransomware e il suo target Market

Potremmo paragonare il virus Ekans ad un qualsiasi specialist delle nostre aziende. Il team americano che l’ha scoperto l’ha definito un ransomware primitivo, potenzialmente pericoloso ma non ancora in grado di portare a termine con facilità tutti gli attacchi sferrati.

Nelle aziende nelle quali il ransomware è riuscito a diffondersi ha causato ingenti danni, eppure il sistema ransomware di Ekans presenta ancora oggi diverse falle.

In termini tecnici (e sono gli unici che useremo in questo articolo) sappiamo che affinché Ekans malware riesca a fermare tutte le operazioni di machine learning e cifrare i dati della macchina industriale è essenziale che vi sia una persona fisica a eseguirlo. Ekans viene diffuso tramite file eseguibili update.exe o ekans.exe o addirittura eseguito da remoto tramite script. Ci dev’essere una persona fisica, dall’altro lato del pc che diriga le operazioni: e questo rappresenta un grosso limite.

Ergo, siamo ancora agli albori di una nuova generazione ransomware, che possiamo definire come Generazione Z Ransomware.

E’ una buona notizia?

No, come accade nel nostro settore, anche il cyber-crime sviluppa nuovi attacchi, li genera, li testa e se funzionano, li affina. Possiamo dire che ci avviciniamo a grandi passi verso un futuro fatto di ICS attack, grazie ai quali sarà possibile non solo prendere di mira computer, tablet o smartphone ma addirittura macchine a controllo numerico, sistemi di automazione, infrastrutture strategiche e tutto ciò che riguarda il processo produttivo di un’azienda.

CONTATTACI

Se desideri informazioni specifiche sui nostri servizi cyber security, contattaci.

CONTATTACI