نمونههای جدید باجافزار EKANS نشان داده است که چگونه مهاجمان سایبری از روشهای مختلفی برای به خطر انداختن شرکتهای مهم صنعتی استفاده میکنند.
در گزارش تحقیقاتی جدیدی اعلام شد که بدافزارهایی که برای حمله به سیستمهای کنترل صنعتی (ICS) طراحی شدهاند، برای عوامل تهدیدگر همچنان سودمند هستند.
در حالی که باج افزارها یک سوم رخدادهای مربوط به بدافزارها را بعد از سال ۲۰۱۹ به خود اختصاص دادهاند، هنگامی که در سیستم های مهم و حیاتی یک آلودگی ویران کننده و مخرب بوجود آید، سرویسهای مهم تحت فشار زیاد مجبور خواهند شد تا برای پرداخت باج اقدام کنند. خانواده باجافزار EKANS یکی از این نمونههایی است که در کارزارهای هدفمند ICS استفاده شده است.
محققان توانستند دو نمونه مدرن این بدافزار را در ماههای می و ژوئن به دست بیاورند که ویژگیهای جالبی را نشان دادهاند. هر دو این نمونهها مبتنی بر ویندوز هستند و با زبان GO نوشته شدهاند، که یک زبان برنامهنویسی است و بطور گسترده در گروههای پیشرفته بدافزاری مورد استفاده قرار میگیرد. این موضوع بدلیل سادگی اجرای آن روی سیستم عامل های مختلف است.
محققان متوجه شدند که با وجود تعداد زیادی خطای کد نویسی در نسخه ماه می باج افزار – بیش از ۱۲۰۰ رشته – این بدافزار همچنان قادر به عملکرد تاثیرگذاردر حملات علیه سیستمهای ICS است.
به نظر میرسد که EKANS به گونهای طراحی شده است که قربانیان خود را هدفمند انتخاب کند. این بدافزار سعی میکند با بررسی دامنه متعلق به شرکت قربانی و مقایسه این اطلاعات با لیستهای IP، هدف خود را تأیید کند و اگر وضعیت هدف تأیید نشود، از فرایند آلودگی خارج میشود.
پس از دستیابی به یک هدف، باج افزار برای تسخیر اطلاعات، کنترل کننده دامنه را اسکن میکند.
هر دو نسخه از عملکرد باجافزارهای معمولی برخوردار هستند. هنگامی که روی یک دستگاه آسیبپذیر قرار گیرند، بدافزار قادر به رمزگذاری فایلها خواهد بود و یک پیام باجگیری نمایش میدهد که در ازای کلید رمزگشایی خواستار دریافت مبلغی است که ممکن است دسترسی به فایل های سیستم را بازیابی کند.
با این حال، نمونه ماه ژوئن فراتر از این ویژگیها است و قابلیت عملکرد سطح بالایی را دارد که میتواند در یک مکان صنعتی ویرانگر باشد، از جمله این ویژگیها قابلیت خاموش کردن فایروال هاست.
این افزونه جدید در EKANS تنها پیشرفت آن نبود. محققان خاطرنشان كردند كه برای جلوگیری از هرگونه محافظت موجود در ICS، این باج افزار نیز سعی خواهد كرد تا قبل از رمزگذاری، فایروال را خاموش كند، که این کار احتمالا برای شناسایی ضدویروسها و دیگر راهکارهای دفاعی است تا راه هرگونه ارتباط با عامل خود را مسدود کند.
EKANS از رمزگذاری RSA برای قفل کردن سیستمهای آسیب دیده استفاده میکند و هر سیستمی را که سدی را در برابر فعالیت های مخرب او ایجاد کند خاموش کرده و با حذف Shadow Copy توانایی بازیابی فایلها را مشکل تر می کند.
در کنار بررسی این بدافزار، محققان همچنین توضیحاتی را در خصوص جدیدترین تکنیکها و تاکتیکهای به کار رفته توسط عوامل تهدید صنعتی منتشر کردند.
منبع :
