EKANS / Snake - 工場やプラントのセキュリティ
こんにちは、丸山満彦です。
EKANS / Snake(以下、EKANSで。。。)によると思われる被害が出ていますね。。。
被害の報道というよりも、EKANSについての情報を記載しておきます。。。
EKANSについての説明は2月3日のDragosのブログが丁寧ですかね。。。
・2020.02.03 EKANS Ransomware and ICS Operations
・GitHubGist - Script and the decoded strings from the EKANS/Snake ransomware
このレポートでは挙動等についても説明されていますので、参考になりますね。。。
EKANSは2019年12月中旬に明らかになっています(Dragosはインテリジェンスサービスの顧客に2020年1月に報告しているようですね)。
EKANSはファイルを暗号化し、身代金を要求するという点では、通常のランサムウェアと同様ですが、ICSの操作に関連するプロセスを強制的に停止させる機能も備えているようです。MEGACORTEXから発展した可能性が高いようです。
静的な「キルリスト」に挙げられたプロセスからみると、制御システム分野を特に標的としたランサムウェアのようです。したがって、ICS資産の管理者や運用者は、攻撃対象を見直して、ICS固有の特徴を持つランサムウェアへの対策を考慮した方が良いとアドバイスしています。
例えば、ICS資産の管理者や運用者は資産を可視化することは特に重要ですね。資産と環境内の接続を把握することで、攻撃者が特定の資産に対してICSに特化したランサムウェアを展開した場合の潜在的な影響、運用や関連プロセスへの影響を理解し、それらに対する対応策を講じることができますからね。。。
● Trendmicro - Threat Encyclopedia - Malware
・2020.01.10 Ransom.Win32.EKANS.A
(対応方法が記載されています)
● FireEye - blogs - Threat Research
● IBM - Security Intelligence
・2020.02.06 EKANS Ransomware Capable of Stopping ICS-Related Processes by David Bisson
・2019.10.15 The Day MegaCortex Ransomware Mayhem Was Averted by Matthew DeFir co-authored by Limor Kessem
・2020.02.04 EKANS: WINDOWS RANSOMWARE GETS ICS AND OT SHARPS by David Wolf
● SCADAfense - blogs
・2020.02.20
y Michael Yehoshua
・2020.02.10 Snake/EKANS Ransomware Attacks Industrial Control Systems: Acronis Stops It by Alexander Ivanyuk
----
■ ISAC
● US WaterISAC
・2020.02.24 EKANS Ransomware Has Direct Implications for ICS Operations, and It May Not Be the First
■報道等
● WIRED
・2020.02.03 Mysterious New Ransomware Targets Industrial Control Systems by Andy Greenberg
EKANS appears to be the work of cybercriminals, rather than nation-state hackers—a worrying development, if so.
● Dark Reading
・2020.02.03 EKANS Ransomware Raises Industrial-Control Worries by Robert Lemos
Although the ransomware is unsophisticated, the malware does show that some crypto-attackers are targeting certain industrial control products.
● SC Media
・2020.02.04 Report ties Ekans/Snake ransomware to Megacortex, emphasizes ICS threat by Bradley Barth
A new threat intelligence report has underscored the serious threat posed by the recently discovered Snake ransomware, which not only encrypts files, but can disrupt certain industrial controls systems processes.
・2020.01.08 Snake ransomware tries to slither its way into enterprise networks by Bradley Barth
● Bleeping Computer
・2020.01.08 SNAKE Ransomware Is the Next Threat Targeting Business Networks by Lawrence Abrams
Since network administrators didn't already have enough on their plate, they now have to worry about a new ransomware called SNAKE that is targeting their networks and aiming to encrypt all of the devices connected to it.
Enterprise targeting, or big-game hunting, ransomware are used by threat actors that infiltrate a business network, gather administrator credentials, and then use post-exploitation tools to encrypt the files on all of the computers on the network.
The list of enterprise targeting ransomware is slowly growing and include Ryuk, BitPaymer, DoppelPaymer, Sodinokibi, Maze, MegaCortex, LockerGoga, and now the Snake Ransomware.
● Help Net Security
・2020.02.04 New ransomware targets industrial control systems by Zeljka Zorz, Managing Editor,
-----
● VirsuTotal SNDBOX
・2020.06.09 d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1 nmon.exe
● Twitter - Vitali Kremez (VK_intel)
・2020.06.09 https://twitter.com/VK_Intel/status/1270102996295340032?s=20
-----
Comments