EKANS é descrito como um ransomware que difere dos demais por nomear processos para atacar sistemas de controle industrial
Pesquisadores de segurança estão alertando para uma nova variedade de ransomware que possui funcionalidades que possibilitam direcionar sistemas de controle industrial (ICS) — evidência de que criminosos cibernéticos estão se preparando para mais ataques a esses ambientes.
Descoberto em meados de dezembro do ano passado, o EKANS se junta a outras variantes similares específicas para ICS, incluindo o Havex e o CrashOverride, de acordo com a fornecedora de soluções de segurança Dragos.
O EKANS é descrito como um ransomware relativamente simples que criptografa arquivos e exibe uma nota de resgate, mas o malware difere da maioria dos demais por nomear processos ICS em uma “lista de morte” estática. “No passado, o ransomware que impactava os ambientes ICS, era o LockerGaga, que atacou a NorskHydro [empresa norueguesa de alumínio e energia renovável] e tinha como foco a TI e só se espalhou para os sistemas por meio de mecanismos corporativos”, explica Dragos.
Entre os produtos ICS mencionados no código estão: o historiador de dados Proficy da GE, os serviços do servidor de licenciamento GE Fanuc, o aplicativo HMIWeb da Honeywell e o ThingWorx Industrial Connectivity Suite, além de várias outras ofertas de servidores de monitoramento e licenciamento remotos.
Não há mecanismo de autopropagação incluído no ransomware; ele deve ser iniciado interativamente ou por meio de um script, uma vez que os agentes de ameaças por trás dele tenham alcançado um comprometimento em larga escala de uma organização vítima, como o Active Directory.
Embora primitivo, o EKANS apresenta “riscos específicos e únicos e cenários de imposição de custos para ambientes industriais”, alerta a Dragos.
“O EKANS, e seu provável antecessor MegaCortex, representam uma evolução adversa para manter os ambientes do sistema de controle especificamente em risco. Como tal, o EKANS, apesar de sua funcionalidade e natureza limitadas, representa uma evolução relativamente nova e profundamente preocupante no malware direcionado ao ICS”, conclui a empresa.
“Enquanto o malware anteriormente específico ou relacionado a ICS era apenas o cenário de entidades patrocinadas por estados-nação, o EKANS parece indicar que elementos não estatais que buscam ganhos financeiros também estão envolvidos nesse espaço, mesmo que apenas em um nível muito primitivo.”
No entanto, nem todos os especialistas concordam. Em entrevista à InfoSecurity, o analista de ameaças da Emsisoft, Brett Callow, argumentou que o ransomware não foi projetado para atingir ambientes ICS especificamente. “O motivo mais provável para interromper os processos do ICS é simplesmente para que os arquivos usados por esses processos possam ser criptografados. Os arquivos em uso não podem ser criptografados, e é por isso que o ransomware geralmente tenta parar uma infinidade de processos”, explicou ele. “Além disso, não há razão para acreditar que o EKANS foi desenvolvido para atingir uma empresa ou setor específico. Tampouco está correndo solta: houve um total de cinco envios para o ID Ransomware”, finalizou.
