Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
EKANS Ransomware y
operaciones ICS
3 de febrero de 2020 | Blog , Noticias de la Industria
Resumen Ejecutivo
El ransomware EKANS surgió a mediados de diciembre de 2019, y Dragos
publicó un informe privado para los clientes de Dragos WorldView Threat
Intelligence a principios de enero de 2020. Aunque era relativamente
sencillo como una muestra de ransomware en términos de cifrado de
archivos y muestra una nota de rescate, EKANS presentó funcionalidades
adicionales para detener por la fuerza una serie de procesos, incluidos
varios elementos relacionados con las operaciones de ICS. Si bien todas
las indicaciones en la actualidad muestran un mecanismo de ataque
relativamente primitivo en las redes de sistemas de control, la
especificidad de los procesos enumerados en una "lista de asesinatos"
estática muestra un nivel de intencionalidad previamente ausente del
ransomware dirigido al espacio industrial. Por lo tanto, se recomienda
encarecidamente a los propietarios y operadores de activos de ICS que
revisen su superficie de ataque y determinen los mecanismos para
entregar y distribuir malware disruptivo, como el ransomware,
SHA1: f34e4b7080aa2ee5cfee2dac38ec0c306203b4ac
SHA256:
e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c1
68b60
MD5: 53dddbb304c79ae293f98e0b151c6b28
SHA1: 2632529b0fb7ed46461c406f733c047a6cd4c591
SHA256:
873aa376573288fcf56711b5689f9d2cf457b76bbc93d4e40ef9d7a27b
7be466
El nivel real de impacto que EKANS o MEGACORTEX con ICS pueden tener
en entornos industriales no está claro. Dirigirse a los procesos de
recopilación de datos e historiador tanto a nivel del cliente como del
servidor impone costos significativos a una organización y podría inducir
una pérdida de visión dentro del entorno general de la planta. Los
impactos para el servidor de licencias y la terminación del proceso de HMI
son menos claros, ya que otros procesos aún pueden estar en juego para
habilitar la funcionalidad y las fallas o "períodos de gracia" para los
servidores de licencias pueden permitir operaciones continuas durante
algún tiempo sin el sistema de administración de licencias.
Mitigaciones
En la actualidad, Dragos no es consciente de cómo EKANS se distribuye
dentro de las redes de víctimas. La defensa primaria contra el
ransomware como EKANS se basa en evitar que llegue o se propague a
través de la red en primer lugar.
Anfitrión
A diferencia de otras variantes recientes de ransomware, EKANS no
tiene código firmado. La implementación de controles en las redes del
sistema de control para prohibir la ejecución de archivos binarios sin
firmar puede, por lo tanto, mitigar la ejecución de malware como este.
Desafortunadamente, muchos paquetes de software de proveedores
legítimos continúan siendo distribuidos en forma no firmada, por lo que
esta estrategia de mitigación puede no ser práctica en muchos casos.
Similar a lo anterior pero confiando en mecanismos más genéricos, las
organizaciones pueden prohibir o al menos monitorear la ejecución de
ejecutables previamente no vistos desde fuentes no estándar o no
actualizadas. Una vez más, aunque imperfecto dado la forma en que se
crean y distribuyen algunos paquetes de software legítimos, esto puede
servir al menos como una alarma inicial para impulsar una mayor
investigación y posiblemente limitar la propagación de software
malicioso en redes sensibles.
Dentro del contexto de las operaciones del historiador de ICS
específicamente, las organizaciones pueden identificar potencialmente
un ataque disruptivo en progreso mediante la implementación de lógica
o monitoreo en su historiador (como GE Proficy en este caso) para
identificar casos en los que múltiples puntos finales dejan de
comunicarse e informar al historiador aproximadamente al mismo
tiempo. Si bien los sistemas aún pueden estar fuera de línea o
comprometidos, la identificación de este punto de datos al inicio de la
investigación facilitará el análisis de la causa raíz del evento al
identificar la funcionalidad potencial específica de ICS, como la que se
muestra en EKANS.
Aunque es una recomendación frecuente para eventos de ransomware,
las organizaciones deben hacer hincapié en generar copias de
seguridad periódicas de archivos y sistemas importantes y
almacenarlas en una ubicación segura a la que no se pueda acceder
fácilmente desde la red regular. Para las operaciones de ICS en
particular, las copias de seguridad deben incluir los últimos datos de
configuración, archivos de proyecto y elementos relacionados que
estén en buen estado para permitir una recuperación rápida en caso de
que ocurra un evento disruptivo.
Red
Donde sea posible, identifique la transferencia de archivos binarios
desconocidos a través de medios de red desde redes empresariales
para controlar enclaves del sistema. Si bien es imperfecto, identificar
cuándo el código ejecutable ingresa al entorno ICS puede al menos
permitir a los defensores correlacionar esta actividad con otras
observaciones sospechosas (como un nuevo inicio de sesión o
actividad de inicio de sesión promiscua) que pueden indicar que hay
una intrusión en curso.
El equipo de servicios profesionales de Dragos ha trabajado con
empresas afectadas por ataques de ransomware. Las siguientes son
algunas lecciones clave aprendidas al responder a incidentes de
ransomware en empresas industriales.
El tiempo es la esencia
Los adversarios responsables de los incidentes de ransomware actúan
rápidamente. En muchos casos, los adversarios no están interesados
en la infraestructura o los datos subyacentes, solo quieren encriptar los
sistemas lo más rápido posible. En el incidente de ransomware del
cliente mencionado anteriormente, los respondedores observaron un
cambio de menos de 24 horas entre el acceso inicial, la obtención del
administrador de dominio y la implementación del ransomware en toda
la planta. Los atacantes en este evento dejaron caer más de 30
herramientas en los puntos finales y las credenciales de autenticación
forzada bruta. Los procedimientos adecuados de monitoreo y respuesta
podrían detectarlos y bloquear el ataque; Sin embargo, los
respondedores deben actuar rápidamente.
Conclusiones
El ransomware EKANS es único, ya que se une a un puñado de variantes
de malware específicas de ICS, como Havex y CRASHOVERRIDE, al tener
referencias específicas a procesos industriales. Al mismo tiempo, la
implementación real de EKANS de dicha funcionalidad es
extremadamente primitiva con un impacto industrial indeterminado.
Proceso Descripción
Recopilador de datos
bluestripecollector.exe
BlueStripe
certificateprovider.exe Ambiguo
client.exe Ambiguo
client64.exe Ambiguo
Recopilador de datos
collwrap.exe
BlueStripe
Suite de conectividad
config_api_service.exe industrial ThingWorx,
ambigua
dsmcsvc.exe Cliente de Tivoli Storage
Manager
Servidor RabbitMQ
epmd.exe
(SolarWinds)
erlsrv.exe Erlang
Servicio de licencias de
fnplicensingservice.exe
FLEXNet
Administrador de licencias de
hasplmv.exe
Sentinel Hasp
inet_gethost.exe Erlang
keysvc.exe Ambiguo
Servicio de integración de
msdtssrvr.exe
Microsoft SQL Server
Servicios de análisis de
msmdsrv.exe
Microsoft SQL Server
Servicio de notificaciones de
musnotificationux.exe
actualización de Microsoft
n.exe Ambiguo
spooler.exe Ambiguous
taskhostw.exe Windows OS
VMWare Guest
vgauthservice.exe
Authentication Service
win32sysinfo.exe RabbitMQ
workflowresttest.exe Ambiguous
Footnotes
[1] Vitali Kremez; SNAKE Ransomware is the Next Threat Targeting
Business Networks – BleepingComputer; Dragos WorldView customers
should consult TR-2020-02 EKANS Ransomware and ICS Operations
[11] CTemplar
[12] Our Company – Bapco
[13] New Iranian Data Wiper Malware Hits Bapco, Bahrain’s National Oil
Company – ZDNet; Dragos WorldView subscribers should also review AA-
2020-01.2 Possible Wiper Activity in the Middle East and TR-2020-03
Dustman Wiper Activity in the Gulf Region
[18] Getting the Story Right, and Why It Matters – Joe Slowik
[21] Shamoon2: Return of the Disttrack Wiper – Palo Alto Unit42; RawDisk
– MITRE; New Destructive Wiper “ZeroCleare” Targets Energy Sector in
the Middle East – IBM; Shamoon: Destructive Threat Re-Emerges with
New Sting in Its Tail – Symantec
PRODUCTOS Y SERVICIOS
Plataforma Dragos
info@dragos.com
Política de privacidad
Términos de servicio
Infografia Podcasts
Año en revisión
Informes de adversarios
EMPRESA
Sobre nosotros
Premios
Blog
Carreras
DTO
Eventos
Conocer al equipo
Contáctenos
HTTPS://WWW.DRAGOS.COM/PRIVACY .