Análisis de malware
Destacado malware: Ekans
18 de marzo de por Greg Belding
Introducción
Los sistemas de control industrial, o ICS, son desde hace algún tiempo el objetivo de malware. La mayoría de estas amenazas se dirigen a sistemas Windows y procesos de Windows y, aparte de apuntar a procesos específicos de ICS, no son muy diferentes de la horda de amenazas en ese sistema Windows XP que usted está utilizando actualmente como pisapapeles.
Un hecho preocupante ha sido la incorporación del ransomware a la lista de amenazas dirigidas a ICS. Recientemente, se descubrió una nueva amenaza de ransomware específica de ICS: Ekans.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Este artículo detallará el malware Ekans y explorará qué es, qué diferencia a Ekans de otras amenazas ICS y cómo funciona, así como cómo se puede prevenir.
Como comentario general sobre amenazas como éstas, todos deberíamos preocuparnos por las amenazas de ICS. Si la infraestructura crítica no cuenta con la seguridad de la información adecuada, se producirán daños a la sociedad muchísimo peores que si su PC personal se infectara.
¿Qué es Ekans?
Ekans, o serpiente escrita al revés, es un nuevo tipo de ransomware dirigido a sistemas ICS. Descubierto en diciembre de, Ekans es el segundo tipo de ransomware diseñado para ICS. El primer ransomware ICS que apareció en la naturaleza fue MEGACORTEX, una pequeña familia de malware con capacidades tanto de ransomware como de limpieza de disco que tiene algunas características específicas de ICS dedicadas.
La buena noticia es que los investigadores de malware han descrito a Ekans como una amenaza menor que MEGACORTEX. Pero a pesar de esta opinión, todas las amenazas de los ICS deben ser tratadas como graves debido a la destrucción que pueden causar a la sociedad. ¡Imagínese el caos que se producirá si la infraestructura crítica deja de funcionar debido a medidas de seguridad deficientes!
¿Qué diferencia a Ekans de otras amenazas específicas de ICS?
Hasta hace poco, los actores de amenazas responsables de amenazas específicas de ICS han sido patrocinados por el estado. Esto significa que la motivación se ha basado en intereses del Estado-nación y no tanto en beneficio personal. Ekans ha cambiado las reglas del juego en este sentido: es la primera amenaza específica de ICS utilizada por ciberdelincuentes privados. Esto significa que lo más probable es que el motivo principal sea el beneficio económico y que otros grupos y organizaciones cibercriminales privados hagan lo mismo, lo que hace que estos ataques sean más comunes.
Otro hecho, más curioso, sobre Ekans es que es el primer malware específico para ICS que lleva el nombre de un personaje de Pokémon.
¿Cómo funciona Ekans?
Ekans destaca por ser muy agresivo, según los investigadores de malware. En parte, esto se debe a que no se dirige a sistemas individuales sino a redes enteras. En lugar de propagarse como lo hacen otros ransomware, se introduce en ICS específicos mediante propagación manual. Esto significa que el principal vector de infección son los archivos adjuntos de correo electrónico maliciosos.
Una vez que un ICS ha sido infectado, Ekans aprovecha los servicios mal protegidos y sin parches para comenzar su ataque. Puede propagarse a sí mismo en toda una red mediante un script.
Después de la infección, Ekans comienza a trabajar en lo que se llama una “lista de eliminación” de procesos típicamente asociados con ICS. Si se encuentran estos procesos, se terminan. Estos procesos se han descrito como las “entrañas” de ICS y afectan a software y programas ampliamente utilizados, incluido el software Proficy de GE, el software de gestión y supervisión ThingWorx y un programa de interfaz de control de Honeywell.
Esta lista de muertes codificada no es tan extensa como la de MEGACORTEX, pero Ekans sigue siendo una seria amenaza. Esta lista incluye los siguientes procesos:
- bluestripecolector.exe: recopilador de datos BlueStripe
- ccflic0.exe: Licencia profesional
- ccflic4.exe: Licencia profesional
- cdm.exe: relacionado con Nimsoft
- Certificateprovider.exe: ambiguo
- client.exe: ambiguo
- client64.exe: ambiguo
- collwrap.exe: recopilador de datos BlueStripe
- config_api_service.exe: suite de conectividad industrial ThingWorx, ambigua
- dsmcsvc.exe: cliente de Tivoli Storage Manager
- epmd.exe: Servidor RabbitMQ (SolarWinds)
- erlsrv.exe: Erlang
- fnplicensingservice.exe: Servicio de licencias FLEXNet
- hasplmv.exe: Administrador de licencias Sentinel HASP
- hdb.exe: Honeywell HMIWeb
- healthservice.exe: Microsoft SCCM
- ilicensesvc.exe: licencia GE FANUC
- inet_gethost.exe: Erlang
- llavesvc.exe: ambiguo
- Managementagenthost.exe: Servicio del agente de gestión VMWare CAF
- monitoreohost.exe: Microsoft SCCM
- msdtssrvr.exe: Servicio de integración de Microsoft SQL Server
- msmdsrv.exe: Servicios de análisis de Microsoft SQL Server
- musnotificationux.exe: Servicio de notificación de actualización de Microsoft
- n.exe: ambiguo
- nimbus.exe: Broadcom Nimbus
- npmdagent.exe: Agente de Microsoft OMS
- ntevl.exe: Monitor de Nimsoft
- ntservices.exe: ambiguo
- pralarmmgr.exe: relacionado con Proficy
- prcalculationmgr.exe: Servicio de cálculo de datos de Proficy Historian
- prconfigmgr.exe: relacionado con Proficy
- prdatabasemgr.exe: relacionado con Proficy
- premailengine.exe: relacionado con Proficy
- preventmgr.exe: relacionado con Proficy
- prftpengine.exe: relacionado con Proficy
- prgateway.exe: Puerta de enlace segura Proficy
- prlicensemgr.exe: Administrador del servidor de licencias Proficy
- proficy Administrator.exe: relacionado con Proficy
- proficyclient.exe: relacionado con Proficy
- proficypublisherservice.exe: relacionado con Proficy
- proficyserver.exe: Servidor Proficy
- proficysts.exe: relacionado con Proficy
- prprintserver.exe: relacionado con Proficy
- prproficymgr.exe: Aplicaciones de plantas profesionales
- prrds.exe: Servicio de datos remotos Proficy
- prereader.exe: Servicio de cálculo de datos de Proficy Historian
- prrouter.exe: relacionado con Proficy
- prschedulemgr.exe: relacionado con Proficy
- prstubber.exe: relacionado con Proficy
- prsummarymgr.exe: relacionado con Proficy
- prwriter.exe: Servicio de cálculo de datos de Proficy Historian
- reportingservicesservice.exe: Servicio de informes de Microsoft SQL Server
- server_eventlog.exe: Servicio de registro de eventos Proficy, ambiguo
- server_runtime.exe: relacionado con Proficy, ambiguo
- spooler.exe: ambiguo
- sqlservr.exe: Microsoft SQL Server
- taskhostw.exe: sistema operativo Windows
- vgauthservice.exe: Servicio de autenticación de invitados de VMWare
- vmacthlp.exe: Ayudante de activación de VMWare
- vmtoolsd.exe: Servicio de herramientas VMWare
- win32sysinfo.exe: RabbitMQ
- winvnc4.exe: cliente WinVNC
- flujo de trabajoresttest.exe: ambiguo
Si estos procesos finalizan en el sistema correcto, el sistema ya no presentaría al personal de la planta de ICS una condición de visualización precisa, lo que sería fatal para la funcionalidad del ICS. La interrupción del servicio sería casi inminente.
Una vez que se completa la infección, los archivos del ICS comprometido se cifrarán. A los usuarios se les mostrará una nota en su monitor diciendo que sus archivos han sido encriptados y que la demanda de rescate suele ser de millones de dólares.
Prevención
Lo bueno es que Ekans es bastante fácil de prevenir. A continuación se presentan algunos consejos sencillos para ayudar a garantizar que esto no le suceda al ICS de su organización:
- La recomendación número uno es educarse sobre los riesgos de ciberseguridad. No descargar archivos adjuntos de correo electrónico maliciosos o simplemente extraños es una capacitación básica sobre riesgos de ciberseguridad, y todo el personal de la planta debe ser consciente de esto.
- Utilice el filtrado y escaneo del contenido del correo electrónico
- Asegúrese de que los archivos tengan una copia de seguridad y sean fácilmente accesibles para su recuperación. Esto puede requerir la implementación de un plan de respaldo y recuperación si aún no existe uno.
- Asegúrese de que los dispositivos y servicios estén parcheados y protegidos
Conclusión
Ekans se descubrió recientemente y es el primer malware específico para ICS diseñado por ciberdelincuentes privados. Funciona atacando las “tripas” de implementaciones ICS ampliamente utilizadas y, si infecta el sistema correcto, eliminará lentamente procesos vitales y cifrará archivos en la red. Dicho esto, la capacitación generalizada sobre riesgos cibernéticos evitará la gran mayoría de las infecciones y mantendrá nuestra infraestructura crítica a salvo de esta amenaza.
¡Conviértete en un ingeniero inverso certificado!
Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender
Fuentes
- EKANS Ransomware genera preocupaciones sobre el control industrial , lectura oscura
- Snake/EKANS Ransomware ataca sistemas de control industrial , Acronis
- Los atacantes apuntan a los sistemas de control industrial con EKANS Ransomware , CISO Mag
- El ransomware dirigido a sistemas de control industrial se vuelve más sofisticado , Barracuda