Palo Alto Networks: EKANS Ransomware zielt auf ICS Systeme

29. Juni 2020 - Malware-Forscher der "Unit 42" von Palo Alto Networks haben kürzlich Ransomware-Aktivitäten von EKANS (Snake rückwärts geschrieben) beobachtet, die mehrere Branchen in den USA und in Europa betreffen. Aus diesem Grund wurde dieser Bedrohungsbewertungsbericht für die Aktivitäten dieser Ransomware erstellt. Identifizierte Techniken und Kampagnen können mit dem Unit 42 Playbook Viewer visualisiert werden.

EKANS, das erstmals im Januar 2020 beobachtet wurde, weist ein relativ grundlegendes Ransomware-Verhalten auf, da in erster Linie versucht wird, Ihre Dateien zu verschlüsseln und danach eine Lösegeldforderung anzuzeigen. Obwohl EKANS in Bezug auf die Dateiverschlüsselung nicht speziell funktioniert, ist es erwähnenswert, dass EKANS einige interessante Funktionen aufweist, die es von anderen Ransomware-Varianten unterscheiden. EKANS Ransomware wurde in Golang geschrieben und enthält eine statische "Kill List", die zahlreiche Prozesse und Dienste von Antiviren- und Industrial Control Systems (ICS) stoppt. Nach dem Beenden der Prozesse werden dann Schattenkopien gelöscht, um alle Wiederherstellungsfunktionen zu deaktivieren. Wie viele Ransomware-Malware-Familien versucht EKANS, auch Ressourcen zu verschlüsseln, die über das Netzwerk mit dem Computer des Opfers verbunden sind.

Nach dem Verschlüsseln von Dateien folgt EKANS keiner einheitlichen Dateiendungsänderung wie andere aktive Ransomware. Stattdessen ändert EKANS die Dateiendung mit fünf zufälligen Zeichen. Dies kann ein Versuch der Entwickler der Ransomware sein, sich der sofortigen Erkennung zu entziehen, indem sie sich nur die Dateierweiterungen ansehen. Eine Möglichkeit, eine EKANS-Infektion zu identifizieren, besteht darin, am Ende der Datei nach der hexadezimalen Zeichenfolge von EKANS zu suchen, die von der Ransomware hinzugefügt wird.

Der wichtigste Angriffsvektor von EKANS scheint derzeit Spearphishing-Anhänge zu sein. Vorhandensein von Richtlinien zum Blockieren von Dateien und Sichern eines offenen Remotedesktopprotokolls (RDP) -Ports verhindern, dass Malware in das Netzwerk gelangt. Wir empfehlen den Eigentümern von ICS-Assets, ihre Sicherheitslage gegen Malware wie EKANS zu überprüfen, um den ICS-Betrieb nicht zu stören. Die EKANS-Betreiber haben offenbar verschiedene Branchen speziell im Visier, darunter Energie, Architekturbüros, Gesundheitswesen, Transportwesen und Fertigungsbetriebe.

Die Threat-Prevention-Plattform von Palo Alto Networks mit WildFire und Cortex XDR erkennt Aktivitäten, die mit dieser Ransomware verbunden sind. Kunden können die mit dieser Bedrohungsanalyse verbundenen Aktivitäten auch mithilfe von AutoFocus mit dem folgenden "Tag" überprüft werden: EKANS.

Bei Fragen oder weiteren Informationen stehen wir von der Omicron AG, Ihrem Palo Alto Networks Platinum Innovator Partner in der Schweiz, gerne zur Seite.