Zowel Dragos als Sentinel One maken melding van een nieuw type kwaadaardige software dat de data op geïnfecteerde computers versleutelt.
Wat is EKANS ransomware?
EKANS werd half december 2019 voor het eerst gevonden. Onderzoekers zeggen dat de software relatief simpel is, want er worden data versleuteld en er wordt losgeld geëist in ruil voor de ontsleuteling ervan. EKANS kan echter ook bepaalde processen die worden uitgevoerd, oftewel applicaties, afsluiten op de geïnfecteerde machines. Kenmerkend is dat de software processen beëindigt van industriële regelsystemen (ICS of Industrial Control Systems) zoals GE Proficy, ThingWorx en Honeywell HMI, en bepaalde IoT-systemen. Dit kan erop wijzen dat dergelijke systemen het primaire doelwit van EKANS zijn.
In vergelijking met andere kwaadaardige software die is ontwikkeld om industriële systemen te ontregelen (denk aan Stuxnet en BlackEnergy) is EKANS betrekkelijk eenvoudig. Maar het versleutelen van computers die bijvoorbeeld worden gebruikt om productie - of transmissielijnen te monitoren, die daardoor worden losgekoppeld van het industriële proces, kan zeer gevaarlijke gevolgen hebben.
"Potentieel zeer gevaarlijke gevolgen"
Volgens de experts van Dragos vertoont EKANS overeenkomsten met de oudere Megacortex-ransomware, die in het voorjaar van 2019 honderden processen afsloot op geïnfecteerde computers. Er zijn verschillende succesvolle aanvallen uitgevoerd met Megacortex, met als hoogste losgeldeis een bedrag van 5,8 miljoen dollar.
Het is nu nog niet duidelijk wie EKANS heeft ontwikkeld. Onder de slachtoffers bevinden zich bedrijven uit de brandstofsector.
Ook het mechanisme waarmee de nieuwe ransomware zich verspreidt, is nog onbekend en de onderzoekers hebben geen ingebouwd verspreidingsmechanisme kunnen vinden. De malware wordt in interactieve modus of door middel van scripts uitgevoerd.
Advies omtrent EKANS Ransomware
Gebruikers van ICS-systemen worden geadviseerd om hun infrastructuur te controleren op mogelijke infecties met ransomware.
Ook kunnen ze preventieve mechanismen inzetten om te voorkomen dat nieuwe en onbekende programma's kunnen worden uitgevoerd op computers waarop productieregelsystemen draaien. In het netwerk moet de overdracht van programma's worden bewaakt op de interface tussen het bedrijfsnetwerk en industriële netwerk, om de verspreiding van malware tegen te gaan.
Het moge duidelijk zijn: cybercriminelen richten zich steeds vaker op industriële doelen. Maar er is nog meer slecht nieuws. In het huidige tijdperk van Industry 4.0 worden er steeds meer industriële systemen verbonden met internet. Zonder de juiste beveiliging worden de ooit volledig geïsoleerde regelsystemen hiermee een makkelijk doelwit. Daarnaast is als gevolg van de technologische ontwikkelingen de oude Programmable Logic Controller (PLC) tegenwoordig een moderne Programmable Automation Controller (PAC) geworden. En een PAC bevat een eigen besturingssysteem dat zoals alle software de nodige kwetsbaarheden en bugs kent. Het ligt helaas voor de hand dat er op een gegeven moment cyberaanvallen zullen worden uitgevoerd op de controllers, in plaats van op de ICS-computers. Het wordt dus tijd om ook de industriële regelsystemen (PAC/PLC) goed te beveiligen tegen malware en doorlopend te bewaken.