Geral 3min de Leitura - 07 de fevereiro de 2020

EKANS: a nova variedade de ransomware que contém funcionalidade para direcionar sistemas de controle industrial (SCI)

Operaria mulher usando notebook em fábrica.

This post is also available in: Português Español

O EKANS foi descoberto em dezembro de 2019 e parece ser o trabalho de cibercriminosos e não de hackers, um desenvolvimento preocupante, se for o caso.

Poucas vezes na história dos hackers foi detectado um código malicioso que tentasse interferir diretamente nos sistemas de controle industrial.

Esses malwares raros já destruíram centrífugas de enriquecimento nuclear no Irã e causaram um apagão na Ucrânia.

Agora, uma nova variedade de ransomware surgiu, usando conhecimentos específicos de sistemas de controle para direcioná-los com uma tática muito mais elaborada e familiar: matar processos software, criptografar os dados subjacentes e mantê-lo refém.

Em dezembro de 2019, pesquisadores de empresas de segurança digital descobriram um código chamado EKANS (conhecido também como SNAKE), e acreditam que ele foi projetado especificamente para direcionar sistemas de controle industrial, softwares e hardwares usados em refinarias de petróleo, companhias elétricas, fábricas etc.

O EKANS criptografa dados e exibe uma nota para as vítimas, a qual exige pagamento para liberar o sistema. O nome do ransomware é originário de uma string que ele planta como marcador de arquivo no computador da vítima para identificar que seus arquivos já foram criptografados.

Foi projetado para comprometer 64 processos de software, incluindo os específicos para sistema de controle industrial. Com isso, seus controladores conseguem criptografar os dados com os quais esses programas de sistema de controle interagem.

Embora não seja tão bem elaborado quanto outros malwares criados especificamente para sabotagem industrial, esse direcionamento pode quebrar o software usado para monitorar a infraestrutura, como, por exemplo, os robôs de uma fábrica.

As consequências são muito perigosas, supondo que uma equipe esteja monitorando remotamente uma operação importante de um equipamento e as operações sejam cortadas por conta do Ransomware, as consequências podem ser irreversíveis.

O EKANS é o segundo ransomware a atingir sistemas de controle industrial. De acordo com especialistas de empresas de segurança digital, uma outra variedade de ransomware, conhecida como Megacortex, apareceu pela primeira vez na última primavera, e incluía os mesmos recursos de eliminação de processos de sistema de controle industrial. O antecessor do EKANS pode ter sido desenvolvido pelos mesmos cibercriminosos.

Não se sabe ainda se o ransomware voltado para a indústria é obra de hackers patrocinados pelo estado (que procuram criar interrupções e cobrir seus rastros tentando se passar por um ransomware) ou de cibercriminosos reais que visam obter lucro.

Vitali Kremez, pesquisador de uma empresa de segurança digital, divulgou pela primeira vez a descoberta do EKANS no início deste mês, juntamente com um grupo de pesquisadores conhecido como Malware Hunter Team. Ele argumenta que os sistemas de controle industrial são alvos naturais para cibercriminosos, pois estas estruturas tem muito a perder se ficarem indisponíveis (off-line), por qualquer período de tempo.

Segundo Kremez:

“Os equipamentos que fazem parte dos sistemas de controle industrial são alguns dos alvos de maior valor. A disponibilidade de dados e equipamentos nestas estruturas estão no centro da missão. Portanto, ampliam-se as chances das empresas pagar aos invasores”.

Algumas industrias foram atingidas com ransomware focado no Windows no passado, como é o caso do ataque cibernético contra a empresa norueguesa de alumínio Hydro Norsk no ano passado. Porém, o EKANS e o Magacortex vão além dos sistemas Windows, eles se infiltram nas entranhas técnicas dos sistemas de controle industrial.

Entre as dezenas de processos encerrados, estão aqueles usados pelo software Proficy da GE, um programa que mantém registros de informações operacionais em ambientes industriais. Outro processo encerrado é o mecanismo que verifica a licença paga de um cliente pelo software Fanuc de automação da GE, assim como o software de monitoramento e gerenciamento THingworx e um programa de interface de controle vendido pela Honeywell.

“Em virtude de remover essa funcionalidade, você não necessariamente fará com que a planta pare, mas diminuirá a visibilidade e o entendimento da vítima sobre o ambiente“. Disse Joe Slowik, pesquisador que analisou o EKANS e o Megacortex.

Ele também observou que não é fácil prever como o software Fanuc da GE lida com uma interrupção de suas verificações de licenciamento, já que esse depende do setor e da configuração especifica do cliente.

Caso o software de automação estiver configurado de forma que não possa funcionar sem uma licença, isso poderá levar a consequências mais graves.

“Se o serviço associado ao licenciamento for paralisado, os operadores não irão conseguir operar determinadas máquinas. Isso pode produzir uma situação de perda de controle que pode se tornar perigosa”.

Se o EKANS não for trabalho de hackers patrocinados pelo Estado, isso torna mais urgente a tomada de medidas de proteção.

Assim como o megacortex, o EKANS seria um dos primeiros malware focado em sistemas de controle industrial desenvolvido por cibercriminosos.

O EKANS pode sinalizar que as táticas de cibercrimes estão se especializando cada vez mais. Por mais que a ideia possa ser perturbadora, a perspectiva é essa e tende a evoluir com o passar dos anos.

Referências

Infosecurity

Dragos

Acompanhe as OSTEC nas redes sociais para ficar por dentro de todo nosso conteúdo: Instagram, Facebook, Linkedin, Twitter.

This post is also available in: Português Español