skip to Main Content

Cybercrime, nuova campagna del ransomware EKANS punta le industrie

Cybercrime, Nuova Campagna Del Ransomware EKANS Punta Le Industrie

Il CSIRT-Italia: Nuova campagna del cybercrime per diffondere il ransomware EKANS. Il malware  ha diverse varianti, agisce come un cryptolocker e colpisce anche gli ICS

C’è una nuova campagna del ransomware EKANS, in circolazione con diverse varianti. Lo denunciano gli esperti di cyber security del CSIRT-Italia. La peculiarità del malware (anagramma di SNAKE) è che oltre ad agire come un cryptolocker, presenta funzionalità in grado di arrestare forzatamente processi di sistema relativi al dominio degli Industrial Control Systems (ICS). In particolare, è codificata al suo interno una “kill list” di processi ICS da terminare. I meccanismi di funzionamento descritti sembrano derivati da MEGACORTEX, un altro codice malevolo del cybercrime che, in aggiunta ai processi ICS, ha impatti anche su quelli che implementano funzioni di sicurezza. Ciò conferisce a tali malware un livello di intenzionalità prima assente dai ransomware di questo tipo, configurandosi quindi come un rischio unico e specifico per i sistemi industriali.

Gli esperti di cyber security: Il ransomware è scritto in Golang e al momento non ci sono dettagli su come si propaghi all’interno della rete colpita. Di conseguenza, bisogna implementare misure preventive

Il ransomware EKANS era stato scoperto dagli esperti di cyber security di Dragos, che avevano stilato un rapporto sul suo funzionamento. Il malware e scritto in Golang e si è cominciato a osservare alla fine di dicembre del 2019. Al momento, però, non ci sono dettagli su come il codice malevolo del cybercrime si propaghi all’interno della rete colpita. Di conseguenza, il CSIRT-Italia raccomanda di implementare misure preventive. Gli operatori ICS sono pertanto fortemente incoraggiati a ridefinire l’ampiezza della possibile superficie di attacco e riconsiderare i nuovi meccanismi di funzionamento dei malware indirizzati verso i sistemi ICS. In particolare, sarebbe importante che censiscano accuratamente i propri asset e le relative connessioni all’interno del loro ambiente operativo. Ciò al fine di determinare l’impatto che un ransowmare con specifici riferimenti al settore ICS possa avere su operazioni o sui processi correlati e prendere, di conseguenza, le opportune contromisure.

Back To Top