Zdroj: Ars Technica
O ransomvér útokoch hovoríme často v našom incident podcaste a aj na našom incident blogu. Útočníci len za posledný rok paralyzovali zašifrovaním interných systémov výrobné firmy, firmy poskytujúce finančné služby, nemocnice, mestá a samosprávy.
V poslednej dobe sme sledovali ako kriminálne skupiny začali používať novú techniku na donútenie firiem zaplatiť výkupné. Pred zašifrovaním systémov skopírujú interné citlivé dáta a tie neskôr zverejnia alebo speňažia, ak sa firma rozhodne nezaplatiť. Ostatná obeť je firma v automobilovom priemysle Gedia.
Teraz sa objavila nová hrozba pre výrobné firmy. Bezpečnostná firma Dragos sleduje činnosť kriminálnikov, ktorých ransomvér pomenovala Ekans. Táto skupina okrem obvyklých činností ako je vymazanie záloh a zašifrovanie systémov robí aj niečo oveľa nebezpečnejšie.
Ekans hľadá v sieti systémy ICS (industrial control systems) a pred zašifrovaním sa snaží vypnúť bežiace procesy, ktoré súvisia s ICS. Dokopy má vo svojom kóde 64 takýchto procesov. Patria medzi ne napríklad rozhrania na ovládanie priemyselných systémov od firiem Honeywell a General Electric. Ekans je zrejme verzia MegaCortex ransomvéru.
Doteraz ransomvér spôsoboval problém hlavne v IT sieťach. Tento nový postup môže narušiť alebo poškodiť výrobne procesy. ICS zariadenia patria do OT (Operational Technology) a mali by byť z bezpečnostných dôvodov oddelené od zariadení v IT sieti. Veľakrát tomu tak nie je.
Aj keď v prípade ransomvéru Ekans ide len o veľmi jednoduché zhodenie procesov, aj tento postup môže spôsobiť škody na výrobných zariadeniach. Výrobné firmy by si mali určite posvietiť na svoju kybernetickú bezpečnosť.
Obrázok: „Cooling-towers-6“ by Scott Willoughby, used under Public Domain
