Expert Blog

Nieuwe EKANS-ransomware richt zich op industriële controlesystemen

Een nieuw type ransomware: EKANS

Zowel Dragos als Sentinel One maken melding van een nieuw type kwaadaardige software dat de data op geïnfecteerde computers versleutelt.

Wat is EKANS ransomware?

EKANS werd half december 2019 voor het eerst gevonden. Onderzoekers zeggen dat de software relatief simpel is, want er worden data versleuteld en er wordt losgeld geëist in ruil voor de ontsleuteling ervan. EKANS kan echter ook bepaalde processen die worden uitgevoerd, oftewel applicaties, afsluiten op de geïnfecteerde machines. Kenmerkend is dat de software processen beëindigt van industriële regelsystemen (ICS of Industrial Control Systems) zoals GE Proficy, ThingWorx en Honeywell HMI, en bepaalde IoT-systemen. Dit kan erop wijzen dat dergelijke systemen het primaire doelwit van EKANS zijn.
In vergelijking met andere kwaadaardige software die is ontwikkeld om industriële systemen te ontregelen (denk aan Stuxnet en BlackEnergy) is EKANS betrekkelijk eenvoudig. Maar het versleutelen van computers die bijvoorbeeld worden gebruikt om productie - of transmissielijnen te monitoren, die daardoor worden losgekoppeld van het industriële proces, kan zeer gevaarlijke gevolgen hebben.

"Potentieel zeer gevaarlijke gevolgen"

Volgens de experts van Dragos vertoont EKANS overeenkomsten met de oudere Megacortex-ransomware, die in het voorjaar van 2019 honderden processen afsloot op geïnfecteerde computers. Er zijn verschillende succesvolle aanvallen uitgevoerd met Megacortex, met als hoogste losgeldeis een bedrag van 5,8 miljoen dollar.

Het is nu nog niet duidelijk wie EKANS heeft ontwikkeld. Onder de slachtoffers bevinden zich bedrijven uit de brandstofsector.
Ook het mechanisme waarmee de nieuwe ransomware zich verspreidt, is nog onbekend en de onderzoekers hebben geen ingebouwd verspreidingsmechanisme kunnen vinden. De malware wordt in interactieve modus of door middel van scripts uitgevoerd.

Advies omtrent EKANS Ransomware

Gebruikers van ICS-systemen worden geadviseerd om hun infrastructuur te controleren op mogelijke infecties met ransomware.
Ook kunnen ze preventieve mechanismen inzetten om te voorkomen dat nieuwe en onbekende programma's kunnen worden uitgevoerd op computers waarop productieregelsystemen draaien. In het netwerk moet de overdracht van programma's worden bewaakt op de interface tussen het bedrijfsnetwerk en industriële netwerk, om de verspreiding van malware tegen te gaan.

Het moge duidelijk zijn: cybercriminelen richten zich steeds vaker op industriële doelen. Maar er is nog meer slecht nieuws. In het huidige tijdperk van Industry 4.0 worden er steeds meer industriële systemen verbonden met internet. Zonder de juiste beveiliging worden de ooit volledig geïsoleerde regelsystemen hiermee een makkelijk doelwit. Daarnaast is als gevolg van de technologische ontwikkelingen de oude Programmable Logic Controller (PLC) tegenwoordig een moderne Programmable Automation Controller (PAC) geworden. En een PAC bevat een eigen besturingssysteem dat zoals alle software de nodige kwetsbaarheden en bugs kent. Het ligt helaas voor de hand dat er op een gegeven moment cyberaanvallen zullen worden uitgevoerd op de controllers, in plaats van op de ICS-computers. Het wordt dus tijd om ook de industriële regelsystemen (PAC/PLC) goed te beveiligen tegen malware en doorlopend te bewaken.

Mateusz Stojek en Mirosław Szymczak - 11 februari 2020

Expert Blog

Wil je meer weten over dit onderwerp, of heb je specifieke vragen? Aarzel niet en neem contact met ons op! Spreek met een solutions expert of architect. Bel ons of laat een bericht achter. Ons team staat klaar voor je vragen.

Mateusz Stojek
OT Security Expert, Infradata

Expert Blog

Wil je meer weten over dit onderwerp, of heb je specifieke vragen? Aarzel niet en neem contact met ons op! Spreek met een solutions expert of architect. Bel ons of laat een bericht achter. Ons team staat klaar voor je vragen.

Mirosław Szymczak
Expert, Infradata

Pagina delen:

Deze website maakt gebruik van cookies. Door verder te gaan op de site ga je akkoord met ons gebruik van cookies. Lees meer.