Программа-вымогатель Snake/EKANS нацелилась на промышленные системы управления

    Программы-вымогатели остаются серьезной угрозой и постоянно эволюционируют. Одной из новейших разновидностей таких угроз является Snake (также известный под названием EKANS, то есть «Snake» наоборот).

    image

    Впервые это вредоносное ПО появилось в конце декабря прошлого года, а самая интересная его особенность заключается в том, что он нацелен на среды промышленных систем управления (ПСУ): не на отдельные машины, а на всю сеть в целом.

    Впервые образец этого ПО, написанный на языке программирования Go, был замечен в коммерческих репозиториях вредоносных программ. Он предназначен для завершения определенных процессов на зараженных компьютерах, включая несколько процессов, связанных с операциями ПСУ, а также для удаления теневых копий томов с целью устранения резервных копий Windows.

    Хотя в настоящее время дешифровка недоступна, системы, работающие под управлением Acronis Active Protection – системы защиты от вредоносных программ на базе ИИ, интегрированной в наши решения для киберзащиты – успешно обнаруживают Snake как «атаку нулевого дня» и обезвреживают его.

    Процесс заражения и ряд технических деталей


    Точкой входа для Snake является небезопасная конфигурация протокола удалённого рабочего стола (RDP). Он распространяется через спам и вредоносные вложения, но также может быть доставлен через бот-сети, пакеты эксплойтов, вредоносную рекламу, веб-инъекции, поддельные обновления, а также переупакованные и зараженные инсталляторы.

    Согласно нашему анализу, при выполнении Snake удаляет копии теневого тома компьютера, а затем прекращает работу целого ряда процессов, связанных с системами диспетчерского контроля и сбора данных, виртуальными машинами, промышленными системами управления, средствами удаленного управления, программным обеспечением для управления сетью и так далее. Удаление резервных копий Windows является тенденцией в установке и ожидаемой функциональности любой новой программы-вымогателя.

    Программа-вымогатель проверяет у жертвы мьютекс-значение «EKANS». При его наличии это вредоносное ПО прекращает работу с выводом сообщения “Already encrypted!” (Уже зашифровано!). В противном случае, мьютекс-значение устанавливается, и производится шифрование с использованием стандартных библиотек шифрования. Основной функционал на зараженных системах достигается с помощью обращений через интерфейс управления Windows (Windows Management Interface, WMI), который начинает выполнять операции шифрования.

    Перед тем, как приступить к операциям шифрования файлов, Snake останавливает (убивает) любые процессы, перечисленные в жестко заданном списке в строках кода вредоносной программы. Полный список с оценкой функции процесса или взаимосвязей представлен ниже:



    При шифровании файлов на зараженной машине Snake будет пропускать файлы, расположенные в системных папках Windows:

    • SystemDrive
    • :\$Recycle.Bin
    • :\ProgramData
    • :\Users\All Users
    • :\Program Files
    • :\Local Settings
    • :\Boot
    • :\System Volume Information
    • :\Recovery
    • \AppData\
    • windir

    К зашифрованному расширению файла будет добавлена случайная пятисимвольная строка, а также файловый маркер 'EKANS'. Процесс шифрования, как правило, медленный и, в случае фактического заражения, выполняется в нерабочее время.

    После завершения процесса шифрования, программа оставляет файл с требованием выкупа под названием Fix-Your-Files.txt.

    image

    Доступ пользователей к зашифрованной системе сохраняется на протяжении всего процесса, система не перезагружается, не выключается и не закрывает каналы удаленного доступа. Это отличает Snake/ EKANS от более разрушительных программ-вымогателей, таких как LockerGoga. Программа-вымогатель использует электронную почту на базе CTemplar, ориентированную на конфиденциальность и аналогичную службе Protonmail.

    Acronis Active Protection обнаруживает «атаки нулевого дня»


    Если раньше вредоносные программы, ориентированные на ПСУ, разрабатывались исключительно под эгидой государственных структур, то теперь, с появлением Snake / EKANS, можно говорить о том, что в игру включились киберпреступники, стремящиеся получить финансовую выгоду.

    Процесс анализа уязвимостей вредоносного ПО все еще идет, но на данный момент расшифровать пораженные им файлы невозможно.

    Но есть и хорошая новость: Acronis Active Protection способен обнаружить Snake и остановить вредоносный процесс в режиме реального времени, а также вернуть все поврежденные файлы. Можно представить себе, какой ущерб способен нанести это ПО, попав в промышленную среду и парализовав системы управления движением или электростанции.
    Acronis
    Компания

    Комментарии 2

      0
      большая проблема еще заключается в человеческом факторе, программу можно еще заблокировать, удалить «вирус» из системы, а за человеком не всегда можно уследить
        0
        С кажем так — вопрос от знакомого. Наличие топыток завершение процессов Скада это да. Но уж больно неуверенное. А пострадавшие есть известные?

        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

        Самое читаемое