近日据外媒报道,根据EKANS勒索软件的新样本显示,如今的网络攻击者正在使用各种方法攻击关键的工业公司。
在上周三(7月1日)发布的一份研究报告中,FortiGuard实验室的研究人员BenHunter和FredGutierrez称,针对工业控制系统(ICS)的恶意软件对威胁者来说仍然有利可图。据2020年Verizon的数据违反报告,尽管勒索软件仅占2019年所有恶意软件事件的三分之一,但是一旦黑客将其应用到核心关键系统中,如公用事业和制造业,那么感染所造成的影响可能是毁灭性的。
据悉,EKANS勒索软件家族是一种被用于定向ICS活动的病毒。研究人员获得了两个版本的样本,一份来是5月份得到的,另一份来自于6月份。从样本中可以看出这两个基于windows的示例都是用GO编写的,这是一种在恶意软件开发社区中被广泛使用的编程语言,因为它相对容易编译,可以在不同操作的系统上工作。
与此同时,为了帮助分析,FortiGuard创建了一个特定于埃堪萨斯的掩饰程序,发现尽管勒索软件的5月份版本存在大量编码错误,但是该恶意软件仍然能够有效地攻击ICS系统。因此,EKANS的设计是有意选择受害者的,该恶意软件将通过解析受害者公司的域名,并将这些信息与IP列表进行比较,来确认目标。一旦目标被捕获,勒索软件就会扫描域控制器以进行攻击。
两种版本均具有典型勒索软件的功能,一旦该恶意软件落在易受攻击的机器上,就会对文件进行加密,并显示一张勒索纸条,要求对方支付赎金,以换取解密密钥。解密密钥可能恢复(也可能不恢复)对系统文件的访问。然而,6月的示例超出了这些特性,并且能够提供高级功能,这些功能可能在工业设置中造成严重破坏,包括关闭主机防火墙的能力。
此前,网络安全公司FireEye就已经警告称,针对ICS恶意软件和黑客工具的开发正在增加,其中大多数都是在过去10年开发出来的。而且FireEye分析的大多数工具都被认为是与供应商无关的,但在某些情况下,目前这些软件的设计也会损害特定公司提供的ICS设置。
