Ekans Ransomware: robot industriali in pericolo

Tra le nostre Ransomware news spunta il nome di una nuova minaccia che fino ad ora non avevamo mai incontrato. Sappiamo con estrema certezza che questa volta non si tratta di un comune ransomware come CryptoLocker, CryptoWall o Snatch.

Ekans ransomware – il virus viene scoperto per la prima volta intorno alla metà del 2019 ma i primi SOC iniziano a studiarlo solo agli esordi del 2020: si tratta di un virus di nuovissima generazione. Ekans in un primo momento si presenta come un normale crypto virus tuttavia alcune delle sue caratteristiche lo rendono sin da subito oggetto di particolari attenzioni.

Ekans ha fatto i compiti a casa e si è deciso a restringere il suo obiettivo ad una specifica categoria di sistemi: macchine industriali e processi di machine learning. Molte delle sue funzionalità infatti riguardano proprio meccanismi volti a forzare l’arresto dei processi industriali.

Ebbene sì, Ekans pare essere il primo ransomware progettato appositamente per colpire applicazioni software collegate ai sistemi ICS di controllo industriale

Proprio come te, ogni mattina, quando sorge il sole, Ekans Ransomware esce di casa e si dirige verso il suo luogo di lavoro. Entra in ufficio e si mette subito all’opera. Il suoi compiti ransomware consistono in:

• trovare una vittima che lo soddisfi
• sganciare la sua bomba infettiva
• manomettere i sistemi di machine learning (ICS)
• crittografare tutti i dati in essi contenuti
• chiedere il riscatto

Tra i compiti di questo malware, fondamentale è il passaggio della manomissione delle macchine industriali dell’azienda colpita. Ci spieghiamo meglio, i normali Ransomware scelgono un’azienda obiettivo e semplicemente criptano i file ai quali riescono ad accedere.

Nello specifico, Ekans ha acquisito un’abilità, una skill in più: è in grado non solo di identificare i process di machine learning, è addirittura in grado di interromperne l’opera. Nello specifico sono stati identificati 64 processi machine learning colpiti (come l’interfaccia uomo/macchina di Honeywell e il software industriale Proficy Historian di General Electric).

Potremmo paragonare il virus Ekans ad un qualsiasi specialist delle nostre aziende. Il team americano che l’ha scoperto l’ha definito un ransomware primitivo, potenzialmente pericoloso ma non ancora in grado di portare a termine con facilità tutti gli attacchi sferrati.

Nelle aziende nelle quali il ransomware è riuscito a diffondersi ha causato ingenti danni, eppure il sistema ransomware di Ekans presenta ancora oggi diverse falle.

In termini tecnici (e sono gli unici che useremo in questo articolo) sappiamo che affinché Ekans malware riesca a fermare tutte le operazioni di machine learning e cifrare i dati della macchina industriale è essenziale che vi sia una persona fisica a eseguirlo. Ekans viene diffuso tramite file eseguibili update.exe o ekans.exe o addirittura eseguito da remoto tramite script. Ci dev’essere una persona fisica, dall’altro lato del pc che diriga le operazioni: e questo rappresenta un grosso limite.

Ergo, siamo ancora agli albori di una nuova generazione ransomware, che possiamo definire come Generazione Z Ransomware.

E’ una buona notizia?

No, come accade nel nostro settore, anche il cyber-crime sviluppa nuovi attacchi, li genera, li testa e se funzionano, li affina. Possiamo dire che ci avviciniamo a grandi passi verso un futuro fatto di ICS attack, grazie ai quali sarà possibile non solo prendere di mira computer, tablet o smartphone ma addirittura macchine a controllo numerico, sistemi di automazione, infrastrutture strategiche e tutto ciò che riguarda il processo produttivo di un’azienda.

Nel 2019 Ekans è rientrato di diritto tra i ransomware di nuova generazione più pericolosi. Si tratta di un virus recente e unico perché attacca le ICS dei processi industriali. Un attacco di questo ransomware può concludersi con effetti devastanti per l’azienda.

Di seguito, alcuni metodi con i quali potete prevenire gli attacchi ransomware.

Onorato Informatica Srl, azienda specializzata in sicurezza informatica e certificata ISO 9001 e ISO 27001, consiglia sempre alle aziende di implementare quanto prima un efficace sistema di monitoraggio Vulnerability Assessment.

Un Vulnerability Assessment aiuta un azienda a tenere traccia del livello di sicurezza del sistema informatico in modo continuativo. Così facendo i tecnici informatici interni possono intervenire con estrema precisione in caso di vulnerabilità gravi rilevate.

Inoltre, per la protezione totale del sistema informatico da attacchi di tipo ransomware Ekans, è necessario implementare la protezione perimetrale della rete interna.

Ad ogni modo, ogni azienda è un mondo a sé. Infatti, la migliore protezione anti ransomware si adatta alle caratteristiche della sua struttura informatica.

Ekans Ransomware – Giugno 2020

In questi giorni di rientro in attività delle aziende italiane, l’azione degli hacker web non si è certo fatta attendere.

Questa volta il virus Ekans ha preso di mira due aziende estremamente strutturate del nostro territorio, a poche ore di distanza l’una dall’altra: Enel e Honda. 

Enel ha prontamente seguito tutti gli step fondamentali per l’isolamento della rete aziendale. In questo caso il virus ha causato il blocco del sistema informatico e alcuni disservizi nelle attività di customer care per una sola notte. Fortunatamente il virus non è riuscito ad arrivare agli impianti di distribuzione e alle centrali elettriche della società. Sappiamo con certezza che Ekans ransomware normalmente mira proprio alle macchine industriali (ICS).

Nel caso di Honda, l’azienda non può dirsi altrettanto fortunata poiché Ekans/Snake ransomware è riuscito a bloccare parte della produzione industriale.

In questo caso l’azione del malware Ekans è stata di gran lunga più efferata e determinata al raggiungimento dei robot industriali. Il virus ha infatti congelato per diverse ore sia i computer presenti nella sezione Honda Customer Service e Honda Financial Services. La società ha emanato un comunicato ufficiale sui principali profili social dell’azienda.

Non contento, Ekans gioca alla società l’ennesimo brutto scherzo. L’azienda ha temporaneamente vietato l’accesso ai dipendenti in alcune sedi in Europa e negli Stati Uniti e ha bloccato la produzione per un tempo ancora non ben specificato dall’azienda.

Il blocco della produzione deciso dalla casa madre è dovuto ai controlli ai sistemi ICS. I robot industriali connessi alla rete devono essere sottoposti a controllo informatico immediato dopo un attacco ransomware Ekans.

Onorato Informatica è un’azienda informatica di Mantova. Siamo specializzati in sicurezza informatica da oltre 10 anni. Onorato Informatica è un’azienda certificata ISO 9001 e ISO 27001 con oggetto la difesa dalle aziende dagli attacchi informatici e implementazione di servizi di Vulnerability Assessment e Penetration Testing continuativi.

Contattaci per avere le giuste informazioni sulla tua infrastruttura informatica.