Giunge dai ricercatori del team Dragos l’allarme relativo a un nuovo ransomware che si differenzia da quelli visti fino ad oggi per una particolare caratteristica: prende di mira esclusivamente 64 processi largamente diffusi nell’ambito industriale da quelli delle soluzioni Honeywell, fino allo storage Proficy Historian di General Electric e ai server Microsoft SQL. Si chiama EKANS (o Snake), è scritto in linguaggio Go e stando alle prime indagini in merito gli autori sembrano essere in qualche modo collegati all’Iran.
Il ransomware EKANS contro i sistemi ICS
Scovato per la prima volta nel dicembre 2019, al momento non sembra essere in grado di diffondersi all’interno di un network dopo aver infettato un terminale. Viene per questo definito da chi l’ha scoperto un “attacco relativamente primitivo”. Perché i documenti possano essere cifrati e le operazioni interrotte è dunque necessario lanciarlo manualmente (è distribuito sotto forma di file update.exe) oppure eseguirlo da remoto via script.
Se questa è una buona notizia, poiché non c’è al momento un pericolo contagio su larga scala, non lo è altrettanto il fatto che potrebbe trattarsi di un segnale relativo a un’attenzione rivolta da chi sviluppa questo tipo di malware sempre più nei confronti di impianti industriali e infrastrutture strategiche, i cosiddetti ICS (Industrial Control Systems). Dopo aver messo in ginocchio intere città, ospedali e piattaforme online potrebbero dunque presentarsi rischi anche per i sistemi informatici delegati alla gestione di reti elettriche e comunicazioni solo per fare un paio di esempi.
Non è ad ogni modo la prima minaccia di questo tipo: EKANS ha tratti comuni con MegaCortex, altro ransomware messo a punto appositamente per colpire processi di questo ambito. Ricordiamo poi BlackEnergy che nel 2015 ha causato un blackout in tutta l’Ucraina, il successore Industroyer che ha fatto altrettanto un anno dopo, Trisis (o Triton) che nel Medio Oriente ha preso di mira alcune infrastrutture delegate alle emergenze sanitarie, Stuxnet che ha colpito il programma nucleare iraniano e Havex che anziché cifrare i contenuti si è infilato nei sistemi di oltre 2.000 siti industriali sottraendo informazioni su equipaggiamento e dispositivi in uso con finalità di spionaggio.