Ataques direcionados a empresas industriais via Ransomware Snake.

De acordo com os dados do Kaspersky ICS CERT, várias empresas industriais estão atualmente a enfrentar ataques direcionados que envolvem o ransomware SNAKE.

Em 8 de junho de 2020, foram relatados problemas que afetaram os sistemas da Honda, uma fabricante japonesa de motorizadas e automóveis, na Europa e no Japão. Uma amostra do malware Snake descoberto por alguns investigadores desvendou o nome de domínio da Honda, “mds.honda.com” (que provavelmente é usado na rede interna da empresa). Se o nome do domínio não puder ser resolvido (ou seja, se o endereço IP correspondente não puder ser determinado), o ransomware termina a execução e nenhum ficheiro é danificado. Segundo os investigadores, isso pode indicar que a atividade dos atacantes é direcionada.

 

Investigadores do Kaspersky ICS CERT usaram os próprios dados de telemetria para identificar outras amostras semelhantes à amostra enviada para o VirusTotal, e os resultados da investigação indicam claramente que os atacantes realizam ataques de vários estágios, cada um direcionado a uma organização específica.

Cifrar e danificar os dados de cada organização é o estágio final de cada um desses ataques.

Aparentemente, cada amostra do Snake foi compilada individualmente, e nas amostras analisadas, o endereço IP e o nome de domínio são armazenados como sequencias de caracteres, dificultando o patch após a compilação.

É importante relembrar que o alvo deste ransomware é sobretudo sistema de automação indústrial – e foi especialmente projetado para cifrar e danificar ficheiros utilizados pelo software General Electric ICS. Isso é evidenciado pelo fato de o malware tentar finalizar os processos do software General Electric antes de iniciar o processo de infeção.

Mais detalhes e IOCs em: https://ics-cert.kaspersky.com/alerts/2020/06/17/targeted-attacks-on-industrial-companies-using-snake-ransomware/