Компания, обезпечаваща сигурността на критични инфраструктури се натъкна на рансъмер,

...
Компания, обезпечаваща сигурността на критични инфраструктури се натъкна на рансъмер,
Коментари Харесай

Появи се рансъмуер, атакуващ ICS системи

Компания, обезпечаваща сигурността на сериозни инфраструктури се натъкна на рансъмер, който нападна индустриални системи за надзор (ICS, industrial control systems). Това, пишат от Dragos, съставлява първата по рода си опасност от този вид.

Зловредният код, ориентиран към бизнеси и консуматори може да има разрушителен резултат върху благосъстоянието и персоналния живот на жертвите му. Но той не нанася директни физически вреди над пострадалите. Кошмарът на доста експерти по сигурност в последните години са компютърните офанзиви към сериозна инфраструктура. С оглед на това, че доста от системите, които през днешния ден ги обслужват са свързани с Интернет, тези страхове са изцяло оправдани. Освен това, постоянно тези системи биват обслужвани от морално стар програмен продукт и програмно поръчителство, което улеснява възможните офанзиви. За наслада, съществени произшествия тук, довели до физически опустошения и гибел не сме чували.

В края на предходната година, Dragos се натъкват на рядка форма на криптовирус, атакувала системите на техен клиент. Името му е EKANS, а вградените му функционалности тормозят компанията.

„ Макар и релативно елементарен в качеството си на рансъмуер проба, EKANS включва спомагателна функционалност да стопира наложително набор от процеси, включително голям брой обекти, свързани с ICS интервенции “, пишат Dragos. „ Въпреки че всички индикации все още да сочат релативно първичен механизъм за офанзива към мрежите на контролни системи, спецификата на процесите, посочени в статичния лист със задания за прекъсване показва несъмнено равнище на предумишленост, което липсва в рансъмуера, атакуващ индустриалното пространство “. Сходен с различен рансъмуер, атакувал индустриални среди – MEGACORTEX – EKANS се явява неповторим с това, че е първия криптовирус с вградени ICS-специфични цели, допълват експертите.

EKANS съставлява написана на програмния език Go опасност, отличаваща се с високо равнище на обфускация, засечена за пръв път през декември предходната година. Анализ на опасността оказва помощ на Dragos да разкрие метода му на работа. При стартирането си, той ревизира дали атакуваната система към този момент не е била станала жертва на EKANS. Ако е по този начин, той прекратява дейностите си. В случаите на „ чиста “ система, той стартира своите дейности, изпращайки поръчки към Windows Management Interface (WMI) и изтрива наличните Volume Shadow Copy архиви за неспособност за възобновяване на криптираната информация. Преди да стартира същинската си активност обаче, EKANS стопира процеси, които са изброени в лист, вграден в кода му. Докато някои от тях са общоприети за сходен жанр закани – като стратегии за отбрана и ръководство, множеството от тях са ориентирани към бази данни (Microsoft SQL Server), решения за бекъп и упоменатите ICS процеси. Самата опасност няма за задача да манипулира индустриални процеси и прави саботажни дейности, само че както акцентират създателите на отчета, прекъсването на някои от процесите може да докара до неспособност за реализирането на мониторинг и наблюдаване в мрежата. При криптирането на файловете към края на техните имена бива прикачено уголемение, формирано от пет признака – в горен и низък указател – в случаен ред. Следва и показване на бележката с искане за откуп. EKANS не разполага с механизми за автоматизирано разпространяване в мрежовия периметър в подмяна на всеобщо поразяване на мрежата. Допълнителното му разпространяване към периферията се реализира по други способи – чрез скрипт, компрометиране на Active Directory или различен метод.

Въпреки някои медийни изявления, свързващи тези офанзиви с Иран, от Dragos не считат, че казусът е подобен. Според тях, атакуващата страна са не ведомствени хакери към някоя страна, а формация, търсеща финансова полза.
Източник: kaldata.com

СПОДЕЛИ СТАТИЯТА



Промоции

КОМЕНТАРИ
НАПИШИ КОМЕНТАР