El fabricante de automóviles Honda ha sido golpeado por un ciberataque, según un informe publicado por la BBC, y luego confirmado por la compañía en un tweet . Otro ataque similar, también divulgado en Twitter , golpeó a Edesur SA, una de las compañías pertenecientes a Enel Argentina que opera en el negocio de distribución de energía en la Ciudad de Buenos Aires.

Según los ejemplos publicados en línea, estos incidentes pueden estar relacionados con la familia de ransomware EKANS / SNAKE. En esta publicación de blog, revisamos lo que se sabe sobre esta variedad de ransomware y lo que hemos podido analizar hasta ahora.

Ransomware dirigido con gusto por ICS

Las primeras menciones públicas del ransomware EKANS se remontan a enero de 2020, con el investigador de seguridad Vitali Kremez compartiendo información sobre un nuevo ransomware dirigido escrito en GOLANG.

El grupo parece tener un interés especial por los Sistemas de Control Industrial (ICS), como se detalla en esta publicación de blog de la firma de seguridad Dragos.

Figura 1: Nota de rescate de EKANS

El 8 de junio, un investigador compartió muestras de ransomware que supuestamente estaba dirigido a Honda y ENEL INT. Cuando comenzamos a mirar el código, encontramos varios artefactos que corroboran esta posibilidad.

Figura 2: Verificación de Mutex

Cuando el malware se ejecuta, intentará resolver a un nombre de host codificado (mds.honda.com). Si, y solo si lo hace, comenzará el cifrado del archivo. La misma lógica, con un nombre de host específico, también se aplicaba al ransomware presuntamente vinculado a Enel.

Figura 3: Función responsable de realizar la consulta DNS

Objetivo: Honda

  • Resolviendo dominio interno: mds.honda.com
  • Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

Objetivo: Enel

  • Resolviendo dominio interno: enelint.global
  • Correo electrónico de rescate: CarrolBidell @ tutanota [.] Com

RDP como un posible vector de ataque

Ambas compañías tenían algunas máquinas con acceso de Protocolo de escritorio remoto (RDP) expuesto públicamente (referencia aquí ). Los ataques RDP son uno de los principales puntos de entrada cuando se trata de operaciones de ransomware específicas.

  • RDP expuesto: /AGL632956.jpn.mds.honda.com
  • RDP expuesto: /IT000001429258.enelint.global

Sin embargo, no podemos decir de manera concluyente que así es como los actores de la amenaza pueden haber entrado. En última instancia, solo una investigación interna adecuada podrá determinar exactamente cómo los atacantes pudieron comprometer las redes afectadas.

Detección

Probamos las muestras de ransomware disponibles públicamente en nuestro laboratorio al crear un servidor interno falso que respondería a la consulta DNS realizada por el código de malware con la misma dirección IP que esperaba. Luego, analizamos la muestra presuntamente vinculada a Honda contra Malwarebytes Nebula , nuestra protección de punto final basada en la nube para empresas.

Figura 4: Panel de Nebula de Malwarebytes que muestra detecciones

Detectamos esta carga útil como ‘Ransom.Ekans’ cuando intenta ejecutarse. Para probar otra de nuestras capas de protección, también deshabilitamos (no recomendado) la protección contra malware para permitir que el motor de comportamiento haga lo suyo. Nuestra tecnología anti-ransomware pudo poner en cuarentena el archivo malicioso sin el uso de ninguna firma.

Las pandillas de ransomware no han mostrado piedad, incluso en este período de lidiar con una pandemia. Continúan apuntando a grandes empresas para extorsionar grandes sumas de dinero.

RDP ha sido señalado como una de las frutas colgantes más bajas preferidas por los atacantes. Sin embargo, también aprendimos recientemente sobre una nueva vulnerabilidad de SMB que permite la ejecución remota. Es importante que los defensores mapeen correctamente todos los activos, los apliquen y nunca permitan que sean expuestos públicamente.

Actualizaremos esta publicación de blog si encontramos nueva información relevante.

Indicadores de compromiso (COI)

Muestra relacionada con Honda:

d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1
mds.honda.com

Muestra relacionada con Enel:

edef8b955468236c6323e9019abb10c324c27b4f5667bc3f85f3a097b2e5159a 
enelint.global