Genérico 3min de Leitura - 18 de septiembre de 2020

EKANS: la nueva variedad de ransomware con la función de dirigir sistemas de control industrial

This post is also available in: Português Español

EKANS fue descubierto en diciembre de 2019 y parece ser fruto del trabajo de cibercriminales en vez de hackers, un desarrollo preocupante de ser así.

Pocas veces en la historia de los hackers se ha detectado un código malicioso que intente interferir directamente con los sistemas de control industrial.

Esos malwares raros ya destruyeron centrífugas de enriquecimiento nuclear en Irán y causaron un apagón en Ucrania.

Ahora, una nueva variedad de ransomware surgió, utilizando conocimientos específicos de sistemas de control para dirigirlos a una táctica mucho más elaborada y familiar: matar los procesos de softwares, encriptar los datos subyacentes y mantenerlos secuestrados.

En diciembre de 2019, investigadores de empresas de seguridad digital descubrieron un código llamado EKANS (conocido también como SNAKE), y creen que él fue diseñado específicamente para manejar sistemas de control industrial, softwares y hardwares usados en refinerías de petróleo, compañías eléctricas, fábricas, etc.

EKANS encripta los datos y muestra una nota a las víctimas, la cual exige el pago para liberar el sistema. El nombre del ransomware proviene de un String que él mismo planta como marcador de archivos en la computadora de la víctima para identificar que sus archivos ya han sido encriptados.

Fue diseñado para comprometer 64 procesos de softwares, incluyendo los que son específicos para sistemas de control industrial. Con eso, sus controladores consiguen encriptar los datos con los que esos programas de sistemas de control interactúan.

A pesar de no ser tan bien elaborado como otros malwares creados específicamente para sabotaje industrial, esa dirección puede dañar al software usado para monitorear la infraestructura, como, por ejemplo, los robots de la fábrica.

Las consecuencias son muy peligrosas, supongamos que un equipo está monitoreando remotamente una importante operación de un equipo y las operaciones sean cortadas por causa de un Ransomware, las consecuencias pueden ser irreversibles.

EKANS es el segundo ransomware que ataca sistemas de control industrial. De acuerdo con especialistas de empresas de seguridad digital, otro tipo de ransomware, conocido como Megacortex, apareció por la primera vez la última primavera, e incluía los mismos recursos de eliminación de procesos de sistemas de control industrial. Es probable que el antecesor del EKANS haya sido desarrollado por los mimos cibercriminales.

Aún no se sabe si el ransomware dirigido a la industria es obra de hackers patrocinados por el estado (que intentan crear interrupciones y cubrir sus rastros intentando pasarse por un ransomware) o de cibercriminales reales que buscan lucrarse.

Vitali Kremez, analista de una empresa de seguridad digital, anunció por primera vez el descubrimiento de EKANS al inicio de este mes, junto con un grupo de investigadores conocidos como Malware Hunter Team. Él argumenta que los sistemas de control industrial son objetivos naturales para los cibercriminales, ya que estas estructuras tienen mucho que perder si quedan indisponibles (off-line), por cualquier período de tiempo.

Según Kremez:

“Los equipos que son parte de los sistemas de control industrial son algunos de los objetivos más valiosos. La disponibilidad de datos y equipos en estas estructuras están en el centro de la misión. Por lo tanto, aumentan las chances de que las empresas paguen a los hackers.”

Algunas industrias, en el pasado, fueron alcanzadas por un ransomware dirigido a Windows, como fue el caso del ataque cibernético a la empresa nórdica de aluminio Hydro Norsk, el año pasado. Sin embargo, EKANS y Magacortex van más allá de los sistemas de Windows, ellos se infiltran en las profundidades más técnicas de los sistemas de control industrial.

Entre las docenas de caso resueltos, están aquellos usados por el software Proficy de GE, un programa que mantiene el registro de informaciones operacionales en ambientes industriales. Otro caso resuelto es el del mecanismo que verifica la licencia pagada por el cliente por el software Fanuc de automación de GE, así como el software de monitoreo y gerencia ThingWorx y un programa de interfaz de control, vendido por Honeywell.

“En virtud de remover esa función, usted no necesariamente hará que la plante se pare, pero disminuirá la visibilidad y la comprensión de la víctima sobre el ambiente”. Dijo Joe Slowik, investigador que analizó a EKANS y Megacortex.

Él también observó que no es fácil prevenir como el software Fanuc de GE lidia con una interrupción de sus verificaciones de licencia, ya que eso depende del sector y de la configuración específica del cliente.

En caso de que el software de automatización esté configurado de forma que no pueda funcionar sin una licencia, eso podrá llevar a consecuencias más graves.

“Si el servicio asociado a la licencia se paraliza, los operadores no podrán operar determinadas máquinas. Eso puede producir una situación de pérdida de control que se puede volver peligrosa”.

Si EKANS no proviene del fruto del trabajo de hackers patrocinados por el Estado, será más urgente la toma de medidas de protección.

Así como el Megacortex, EKANS sería uno de los primeros malwares enfocados en sistemas de control industrial desarrollado por cibercriminales.

EKANS puede estar señalando que las tácticas del cibercrimen se están volviendo cada vez más especializadas. Por más que la idea pueda ser perturbadora, la perspectiva es esa y tiende a evolucionar con el pasar de los años.

Referencias:

Infosecurity

Dragos

This post is also available in: Português Español