Одна из версий вымогателя способна нанести ущерб промышленным системам, в том числе отключить межсетевые экраны.
Специалисты Бен Хантер (Ben Hunter) и Фред Гутьеррес (Fred Gutierrez) из FortiGuard Labs компании Fortinet провели анализ новых образцов вымогательского ПО EKANS (также известного как Snake). Как сообщили эксперты, операторы вымогателя используют различные методы для компрометации автоматизированных систем управления ключевых промышленных компаний.
Исследователям удалось проанализировать два образца вредоноса, один из которых был создан в мае, а другой в июне нынешнего года. Оба образца написаны на языке программирования GO, широко используемом в сообществе разработчиков вредоносных программ, поскольку его относительно легко компилировать для работы на разных операционных системах.
Эксперты обнаружили огромное количество ошибок кодирования в майской версии вымогателя, но, несмотря на это, вредоносное ПО все еще способно эффективно осуществлять атаки на АСУ ТП. Предположительно, EKANS был разработан для осуществление атак на определенные цели. Вредоносное ПО сначала пытается подтвердить свою цель, проверяя домен, принадлежащий компании-жертве, и сравнивая данную информацию со списками IP-адресов. Если жертва не соответствует списку целей, процедура завершается.
Обе версии выполняют функции обычного вымогателя — оказавшись на уязвимом устройстве, вредоносная программа начинает шифровать файлы и создает уведомление о выкупе с требованием оплаты в обмен на доступ к данным.
Тем не менее, июньская версия выходит за рамки этих возможностей и обладает высокоуровневыми функциями, способными нанести ущерб промышленным системам, включая возможность отключения межсетевых экранов. Данное изменение в функциональности EKANS было не единственным. Вымогатель также пытается отключить межсетевой экран перед шифрованием с целью обойти любые существующие средства защиты АСУ ТП. Как полагают специалисты, «таким образом вредонос пытается обнаружить антивирусные решения и другие средства защиты».
EKANS использует алгоритм шифрования RSA (аббревиатура от фамилий его создателей Rivest, Shamir и Adleman) для блокировки уязвимых компьютеров и любых систем, которые могут стать препятствием для деятельности вредоноса, а также удаляет теневые копии для затруднения восстановление файлов.
Источник: securitylab