Expert Blog

Nieuwe EKANS-ransomware richt zich op industriële controlesystemen

Een nieuw type ransomware: EKANS

Zoals gemeld door Dragos en Sentinel One, is een nieuw type software gevonden ​​dat gegevens op geïnfecteerde computers codeert - ook bekend als ransomware. De gijzelsoftware wordt EKANS genoemd.

Wat is EKANS ransomware?

EKANS werd voor het eerst gedetecteerd midden december 2019. Enerzijds zeggen onderzoekers dat deze software relatief eenvoudig is: het versleutelt data en toont een typische vraag om losgeld in ruil voor het decoderen van de versleutelde data. Aan de andere kant heeft EKANS de mogelijkheid om geselecteerde actieve processen, dat wil zeggen applicaties, op geïnfecteerde computers onafhankelijk te beëindigen. Het wordt gekenmerkt door het feit dat de lijst met "killed" processen onder andere betrekking hebben op industriële controlesystemen (´Industrial Control Systems´) zoals GE Proficy, ThingWorx en Honeywell HMI, evenals IoT-systemen. De selectie van deze processen geeft aan dat ICS's het primaire doelwit zouden kunnen zijn voor de EKANS ransomware.

"Potentieel zeer gevaarlijke gevolgen"

Hoewel EKANS misschien eenvoudig lijkt, bijvoorbeeld in vergelijking met andere kwaadaardige software die ontwikkeld is om industriële systemen te saboteren, kan EKANS potentieel zeer gevaarlijke gevolgen hebben. Het coderen van computers zoals de systemen die worden gebruikt om productie- of transmissielijnen te controleren, zouden losgekoppeld kunnen raken van het industriële proces .

Op dit moment is het niet helemaal duidelijk wie verantwoordelijk is voor het ontwikkelen van EKANS. Onder de slachtoffers bevinden zich bedrijven uit de brandstofsector. Het mechanisme voor de verspreiding van de nieuwe ransomware is ook onbekend. Onderzoekers hebben geen ingebouwd automatisch propagatiemechanisme gevonden. De malware wordt in interactieve modus of via scripts uitgevoerd.

Advies omtrent EKANS Ransomware

Eigenaren en exploitanten van ICS-systemen worden geadviseerd om hun infrastructuur te controleren om tekenen van de ransomware-infectie te signaleren.

Bovendien kunnen als onderdeel van preventie mechanismen worden geïntroduceerd om te voorkomen dat nieuwe onbekende programma's worden uitgevoerd op computers waarop productiecontrolesystemen worden uitgevoerd. Op netwerkniveau kan de overdracht van programma's worden gecontroleerd op de interface van het bedrijfsnetwerk en het industriële netwerk om verspreiding van malware te voorkomen.

Zoals u ziet, richten cybercriminelen zich steeds vaker op industriële locaties. En er is slechter nieuws: leven in het tijdperk van Industry 4.0 betekent dat we steeds meer ICS's zien die verbonden zijn met internet, wat voorheen volledig geïsoleerde ICS's waren. Tegenwoordig kunnen deze Industrial Control Systems heel eenvoudig doelen worden wanneer de juiste beveiliging niet aanwezig is. Met constante technologische ontwikkelingen zijn er bovendien oude Programmable Logic Controllers (PLC) geëvolueerd naar moderne Programmable Automation Controllers (PAC), die hun eigen controlesystemen hebben. Zoals elke software, hebben ook deze hun eigen kwetsbaarheden en bugs.

Het is niet moeilijk om te beseffen dat een cyberaanval op een bepaald moment op de controllers kan worden gericht en niet op de ICS-computers. Dit moet je er al van bewust maken dat het, net als bij het beschermen van computers tegen malware, tijd is om te investeren in het beschermen van controlesystemen (PAC / PLC) en het bewaken van je industriële netwerken.

Mateusz Stojek en Mirosław Szymczak - 11 februari 2020

Expert Blog

Wil je meer weten over dit onderwerp, of heb je specifieke vragen? Aarzel niet en neem contact met ons op! Spreek met een solutions expert of architect. Bel ons of laat een bericht achter. Ons team staat klaar voor je vragen.

Mateusz Stojek
OT Security Expert, Infradata

Expert Blog

Wil je meer weten over dit onderwerp, of heb je specifieke vragen? Aarzel niet en neem contact met ons op! Spreek met een solutions expert of architect. Bel ons of laat een bericht achter. Ons team staat klaar voor je vragen.

Mirosław Szymczak
Expert, Infradata

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer.