2min Security

Ekans-ransomware richt zich op industriële controlesystemen

Ekans-ransomware richt zich op industriële controlesystemen

Cybercriminelen hebben ransomware-aanvallen gelanceerd die specifiek gericht zijn op industriële controlesystemen (ICS). Volgens onderzoekers is dit het eerste geval van malware die gegevens versleutelt in die omgevingen.

Een nieuw rapport van securitybedrijf Dragos toont aan dat Ekans, of ook wel Snake, zoals de ransomware wordt genoemd, op de voorgrond trad in december 2019. De malware is ontworpen voor aanvallen op Windows-systemen die in industriële omgevingen worden gebruikt.

De onderzoekers stellen dat Ekans een lijst van commando’s en processen bevat die te maken hebben met een aantal functies die specifiek voorkomen in industriële controlesystemen. Deze commando’s en processen zijn gericht op het uitschakelen van deze functies.

Evolutie in malware

Hoewel deze functionaliteit als beperkt wordt omschreven, toont de analyse van de onderzoekers van Ekans wel aan dat het gaat om “een diepgewortelde evolutie in ICS-targeting malware”. Dit omdat het aangeeft dat cybercriminelen zich nu direct richten op ICS-systemen, puur voor financieel gewin. Er waren eerder al een aantal malware-aanvallen vanuit state actors bekend, maar nu verspreidt het probleem zich dus ook naar ‘gewone’ e-crime-actoren.

Versleutelde bestanden krijgen een nieuwe naam, met een willekeurige bestandsextensie van vijf tekens, en slachtoffers krijgen een losgeldeis met een e-mailadres. Vervolgens moeten ze contact opnemen om te onderhandelen over het losgeld, dat in cryptovaluta moet worden betaald.

De manier waarop Ekans specifiek is ontworpen om zich op ICS te richten, geeft volgens ZDNet aan dat de aanvallers een specifiek doelwit in gedachten hebben. Waarschijnlijk zullen ze daarom ruim de tijd nemen om doelen binnen te dringen die relevant zijn voor hun plannen.

“De ICS-specifieke aard van de gerichte processen wijst op groeiende brutaliteit,” vertelde Joe Slowik van Dragos, tegenover ZDNet. “Hoewel de ransomware niet opzettelijk destructief is, kan een gebrek aan context, evenals bepaalde factoren in de systemen van slachtoffers, ertoe leiden dat Ekans toch een beschadigend effect kan veroorzaken. Dat deze mogelijkheid geaccepteerd wordt als plausibel is zeer verontrustend.”