De acordo com os dados do Kaspersky ICS CERT, várias empresas industriais estão atualmente a enfrentar ataques direcionados que envolvem o ransomware SNAKE.
Em 8 de junho de 2020, foram relatados problemas que afetaram os sistemas da Honda, uma fabricante japonesa de motorizadas e automóveis, na Europa e no Japão. Uma amostra do malware Snake descoberto por alguns investigadores desvendou o nome de domínio da Honda, “mds.honda.com” (que provavelmente é usado na rede interna da empresa). Se o nome do domínio não puder ser resolvido (ou seja, se o endereço IP correspondente não puder ser determinado), o ransomware termina a execução e nenhum ficheiro é danificado. Segundo os investigadores, isso pode indicar que a atividade dos atacantes é direcionada.
#Honda and #Enelint became next victims of #Ekans #Ransomwarehttps://t.co/HAYyF4i8Xphttps://t.co/4mZz84lYrV
— milkream (@milkr3am) June 8, 2020
Investigadores do Kaspersky ICS CERT usaram os próprios dados de telemetria para identificar outras amostras semelhantes à amostra enviada para o VirusTotal, e os resultados da investigação indicam claramente que os atacantes realizam ataques de vários estágios, cada um direcionado a uma organização específica.
Cifrar e danificar os dados de cada organização é o estágio final de cada um desses ataques.
Aparentemente, cada amostra do Snake foi compilada individualmente, e nas amostras analisadas, o endereço IP e o nome de domínio são armazenados como sequencias de caracteres, dificultando o patch após a compilação.
É importante relembrar que o alvo deste ransomware é sobretudo sistema de automação indústrial – e foi especialmente projetado para cifrar e danificar ficheiros utilizados pelo software General Electric ICS. Isso é evidenciado pelo fato de o malware tentar finalizar os processos do software General Electric antes de iniciar o processo de infeção.
Mais detalhes e IOCs em: https://ics-cert.kaspersky.com/alerts/2020/06/17/targeted-attacks-on-industrial-companies-using-snake-ransomware/
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.