Está en la página 1de 23

U a

EKANS Ransomware y
operaciones ICS
3 de febrero de 2020 | Blog , Noticias de la Industria

Dragos Professional Services y Dragos Platform detectan y responden


regularmente a brotes de ransomware en entornos industriales. El
impacto y las evaluaciones operativas del ransomware en este informe se
derivan de responder y proteger estos entornos diariamente.

Dragos publicó una versión anterior de este informe para clientes de


inteligencia de amenazas el 14 de enero de 2020. Debido al interés
público en este ransomware, estamos publicando el informe completo al
público.

Resumen Ejecutivo
El ransomware EKANS surgió a mediados de diciembre de 2019, y Dragos
publicó un informe privado para los clientes de Dragos WorldView Threat
Intelligence a principios de enero de 2020. Aunque era relativamente
sencillo como una muestra de ransomware en términos de cifrado de
archivos y muestra una nota de rescate, EKANS presentó funcionalidades
adicionales para detener por la fuerza una serie de procesos, incluidos
varios elementos relacionados con las operaciones de ICS. Si bien todas
las indicaciones en la actualidad muestran un mecanismo de ataque
relativamente primitivo en las redes de sistemas de control, la
especificidad de los procesos enumerados en una "lista de asesinatos"
estática muestra un nivel de intencionalidad previamente ausente del
ransomware dirigido al espacio industrial. Por lo tanto, se recomienda
encarecidamente a los propietarios y operadores de activos de ICS que
revisen su superficie de ataque y determinen los mecanismos para
entregar y distribuir malware disruptivo, como el ransomware,

Tras el descubrimiento y la investigación, Dragos identificó una relación


entre EKANS y el ransomware llamado MEGACORTEX, que también
contenía algunas características específicas de ICS. La identificación de
objetivos de procesos industriales dentro del ransomware descrito en
este informe es única y representa las primeras variantes de ransomware
específicas de ICS conocidas.

EKANS subraya la importancia de que los propietarios y operadores de


activos obtengan visibilidad de sus activos. Al hacer un inventario de los
activos disponibles y las conexiones dentro de un entorno, los
propietarios de los activos pueden comprender las posibles
consecuencias de un adversario que implementa ransomware específico
de ICS contra un determinado activo, el impacto en las operaciones o
procesos relacionados, y tomar medidas para defenderse de ellos.

Antecedentes y descubrimiento de EKANS


Dragos se enteró inicialmente de una nueva variante de ransomware,
llamada "Snake" o "EKANS", el 06 de enero de 2020. [1] Después de
alertar a las partes afectadas e informar a los clientes de Dragos
WorldView el 14 de enero de 2020, el malware recibió cobertura de
medios adicional el 28 de enero 2020. [2]
Nota del analista: Aunque se los conoce como Snake y EKANS en los
informes públicos ("EKANS" es "Snake" deletreado al revés), Dragos se
referirá a este malware como EKANS debido a la existencia de otro
malware previamente descubierto y etiquetado como "Snake" y atribuido
al actor de la amenaza Turla. [3] Cualquier referencia futura o futura a
"Snake" de Dragos se referirá a la actividad asociada a Turla, mientras
que la variante de ransomware en discusión se denominará EKANS.

Mientras investigaba EKANS, Dragos observó una lista de procesos


asociados con las operaciones del sistema de control industrial (ICS). El
malware fue diseñado para terminar los procesos nombrados en las
máquinas víctimas. Esto es notable para EKANS porque si bien el
ransomware ha victimizado previamente a los entornos ICS, todos los
eventos anteriores presentan ransomware centrado en TI que se propaga
a los entornos del sistema de control a través de mecanismos
empresariales. [4] De lo contrario, el ransomware específico de ICS ha
incluido principalmente pruebas académicas de conceptos o trucos de
marketing que representan el corpus de actividad. [5]

Dada la naturaleza única (si limitada) de EKANS para las operaciones de


ICS, Dragos proporciona el siguiente análisis.

Con un conjunto limitado de malware específico de ICS en existencia,


EKANS, aunque primitivo, representa una evolución en adversarios
dirigidos a entornos de sistemas de control.

Como resultado, aunque muchos informes públicos recientes sobre el


tema han sido de naturaleza hiperbólica, a continuación se incluye
información disponible públicamente sobre los primeros ejemplos
conocidos de ransomware específicos de ICS.

Análisis de ransomware EKANS


EKANS es una variante ofuscada de ransomware escrita en el lenguaje de
programación Go, observada por primera vez en repositorios de malware
comercial a fines de diciembre de 2019. La única muestra relevante
relevante tiene las siguientes características:

Nombre de archivo: update.exe


MD5: 3d1cc4ef33bad0e39c757fce317ef82a

SHA1: f34e4b7080aa2ee5cfee2dac38ec0c306203b4ac

SHA256:
e5262db186c97bbe533f0a674b08ecdafa3798ea7bc17c705df526419c1
68b60

El análisis del binario indica que se utilizan múltiples bibliotecas Go


personalizadas para construir y garantizar la ejecución, como se muestra
en la Figura 1.

Figura 1: Referencias a archivos Golang personalizados en EKANS Binary

Por sí solo, el binario consiste en múltiples cadenas codificadas. Sin


embargo, el esquema de codificación se puede identificar y revertir, y el
análisis disponible públicamente se proporcionó desde el 7 de enero de
2020. [6] La revisión de las cadenas codificadas junto con la supervisión
de la ejecución de malware en un entorno de sandbox identifica el flujo del
programa del ransomware.

Primero, el malware comprueba la existencia de un valor Mutex, "EKANS",


en la víctima. Si está presente, el ransomware se detendrá con un
mensaje "¡ya está encriptado!". De lo contrario, el valor Mutex se
establece y el cifrado avanza utilizando las funciones estándar de la
biblioteca de cifrado. La funcionalidad principal en los sistemas de la
víctima se logra a través de llamadas de la Interfaz de administración de
Windows (WMI), que comienza a ejecutar operaciones de cifrado y elimina
las copias de seguridad de Volume Shadow Copy en la víctima.

Antes de proceder a las operaciones de cifrado de archivos, la fuerza del


ransomware detiene ("mata") los procesos enumerados por nombre de
proceso en una lista codificada dentro de las cadenas codificadas del
malware. En el Apéndice A de este informe se proporciona una lista
completa con la función o relación del proceso evaluado. Si bien algunos
de los procesos a los que se hace referencia parecen estar relacionados
con el software de seguridad o administración (por ejemplo, Qihoo 360
Safeguard y Microsoft System Center), la mayoría de los procesos
enumerados se refieren a bases de datos (por ejemplo, Microsoft SQL
Server), soluciones de respaldo de datos (por ejemplo, IBM Tivoli ) o
procesos relacionados con ICS.

Los productos de ICS a los que se hace referencia incluyen numerosas


referencias al historial de datos Proficy de GE, con procesos tanto de
cliente como de servidor incluidos. [7] La funcionalidad adicional
específica de ICS a la que se hace referencia incluye los servicios del
servidor de licencias de GE Fanuc y la aplicación HMIWeb de Honeywell.
[8] Los elementos restantes relacionados con ICS consisten en
monitoreo remoto (p. Ej., Tipo historiador) o instancia de servidor de
licencias como los administradores de licencias FLEXNet y Sentinel HASP
y ThingWorx Industrial Connectivity Suite. [9]Como se indicó
anteriormente, el malware no realiza ninguna acción que no sea detener
por la fuerza el proceso al que se hace referencia. Como tal, el malware no
tiene la capacidad de inyectar comandos o manipular procesos
relacionados con ICS. Sin embargo, la ejecución en el sistema correcto
(por ejemplo, un historiador de datos) induciría una condición de pérdida
de visión dentro de la red.

Los archivos se renombran después del cifrado agregando cinco


caracteres aleatorios (letras mayúsculas y minúsculas) a la extensión del
archivo original. Por ejemplo, como se muestra en la Figura 2, los archivos
Python PYD se cifran y se agregan caracteres adicionales a la extensión
PYD.
Figura 2: Resultados de cifrado EKANS

Después de la detención del proceso y las acciones de cifrado, EKANS


suelta una nota de rescate en la raíz de la unidad del sistema
(generalmente C: \) y el escritorio del usuario activo. La nota de rescate
se proporciona en la Figura 3.

Figura 3: Nota de rescate de EKANS

El acceso del usuario al sistema encriptado se mantiene durante todo el


proceso, y el sistema no se reinicia, apaga ni cierra los canales de acceso
remoto. Esto diferencia a EKANS del ransomware más disruptivo, como la
variante LockerGoga implementada en Norsk Hydro en marzo de 2019.
[10] La dirección de correo electrónico en el ransomware utiliza un
servicio de correo electrónico centrado en la privacidad, similar a
Protonmail, llamado CTemplar. [11]

Nota del analista: El correo electrónico de respuesta, bapcocryp [AT]


ctemplar [.] Com, parece similar a Bapco, la compañía petrolera estatal de
Bahrein. [12] Recientes informes afirman que Bapco fue víctima de la
variante de limpiaparabrisas ZeroCleare de finales de diciembre de 2019,
Dustman. [13]Si bien la dirección de correo electrónico es provocativa a la
luz de esta noticia, la muestra de EKANS parece no estar relacionada con
el evento Dustman. La muestra de EKANS se identificó por primera vez en
un repositorio de virus comercial el 26 de diciembre de 2019, mientras
que el evento Dustman tuvo lugar los días 29 y 30 de diciembre de 2019.
Una posibilidad es que EKANS se haya utilizado en Bapco en un incidente
anterior a Dustman, mientras que otro es que los informes públicos
actuales confunden el incidente de Dustman (que toda la información
disponible indica que está enfocado en Arabia Saudita) con un evento de
ransomware generalizado y potencialmente disruptivo en Bapco que
ocurre aproximadamente al mismo tiempo. En cualquier caso, cualquier
vínculo entre EKANS, el incidente de Bapco y el limpiador Dustman parece
circunstancial dada la evidencia disponible.

EKANS no posee un mecanismo incorporado de propagación o


propagación. En su lugar, el malware debe iniciarse de forma interactiva o
mediante un script para infectar un host. Como tal, EKANS sigue una
tendencia observada en otras familias de ransomware como Ryuk y
MEGACORTEX, entre otras, donde se evita la autopropagación a favor de
realizar compromisos a gran escala de una red empresarial. Una vez
logrado, el ransomware se puede sembrar y programar a través de la red
mediante un script, un compromiso de Active Directory u otro mecanismo
para lograr la infección simultánea y la interrupción del sistema.

Relación de EKANS con MEGACORTEX


Mientras investigaba EKANS y los procesos identificados en el Apéndice
A, Dragos hizo una conexión con otra familia de ransomware,
MEGACORTEX. [14] La actividad de eliminación de procesos similar a
EKANS se observó en una variante más reciente de "versión 2" de
MEGACORTEX a mediados de 2019, según lo analizado e informado
públicamente por Accenture. [15] La muestra específica de MEGACORTEX
que también hace referencia a procesos de ICS tiene las siguientes
características:

MD5: 53dddbb304c79ae293f98e0b151c6b28

SHA1: 2632529b0fb7ed46461c406f733c047a6cd4c591

SHA256:
873aa376573288fcf56711b5689f9d2cf457b76bbc93d4e40ef9d7a27b
7be466

Mientras que la lista de procesos dirigidos en EKANS es relativamente


corta y enfocada (64 artículos en total), la versión más reciente de
MEGACORTEX contiene más de 1,000 artículos referenciados. La gran
mayoría de los procesos enumerados se relacionan con soluciones de
seguridad o herramientas similares. Sin embargo, todos los elementos a
los que se hace referencia en la lista EKANS ICS también están presentes
en la lista MEGACORTEX, y no hay elementos adicionales presentes en la
lista MEGACORTEX con importancia ICS. Según esta información, parece
que EKANS no es único, o al menos no el primero, en la orientación de
procesos relacionados con ICS.

En cambio, EKANS representa una variante de ransomware endurecida


y ofuscada basada en la actividad previa de MEGACORTEX.

Significado e implicaciones del ICS


Preocupaciones anteriores con ransomware en entornos ICS centrados
en mecanismos de propagación. Esencialmente, el ransomware centrado
en TI podría afectar los entornos del sistema de control si pudieran migrar
a partes de las redes del sistema de control basadas en Windows,
interrumpiendo así las operaciones. Como tal, cualquier interrupción de
ICS causada por ransomware representaba los resultados de una
propagación de malware demasiado agresiva que conducía a impactos de
ICS.

EKANS (y aparentemente algunas versiones de MEGACORTEX) cambian


esta narrativa ya que la funcionalidad específica de ICS se referencia
directamente dentro del malware. Si bien algunos de estos procesos
pueden residir en las redes de TI empresariales típicas, como los
servidores Proficy o los servidores Microsoft SQL, la inclusión de software
HMI, clientes históricos y elementos adicionales indica un conocimiento
mínimo, aunque crudo, de los procesos y la funcionalidad del entorno del
sistema de control.

El nivel real de impacto que EKANS o MEGACORTEX con ICS pueden tener
en entornos industriales no está claro. Dirigirse a los procesos de
recopilación de datos e historiador tanto a nivel del cliente como del
servidor impone costos significativos a una organización y podría inducir
una pérdida de visión dentro del entorno general de la planta. Los
impactos para el servidor de licencias y la terminación del proceso de HMI
son menos claros, ya que otros procesos aún pueden estar en juego para
habilitar la funcionalidad y las fallas o "períodos de gracia" para los
servidores de licencias pueden permitir operaciones continuas durante
algún tiempo sin el sistema de administración de licencias.

"EKANS y su supuesta variante principal MEGACORTEX representan un


riesgo único y específico para las operaciones industriales que no se
habían observado previamente en las operaciones de malware de
ransomware".

Sin embargo, esta incertidumbre sigue siendo inaceptable dada la


posibilidad de producir situaciones de pérdida de control inadvertidas
dependiendo de la configuración precisa del entorno y los enlaces de
proceso. Como resultado, EKANS y su supuesta variante matriz
MEGACORTEX representan un riesgo único y específico para las
operaciones industriales que no se habían observado previamente en las
operaciones de ransomware. Si bien algunas organizaciones tienen el
recurso de emergencia de volver a caer en operaciones de "modo
manual", los costos y las ineficiencias de hacerlo (si tal cambio se
produce en ausencia de fricción) siguen siendo considerables. Dados
estos aspectos, EKANS y su matriz presentan riesgos específicos y
únicos y escenarios de imposición de costos para entornos industriales.

Evaluación de supuestos vínculos con Irán


Un elemento particular de interés tanto en la publicación del blog del
vendedor [16] como en el artículo de Bloomberg [17] sobre la actividad de
EKANS es el énfasis en los enlaces supuestamente probados a los
"intereses estratégicos iraníes". Si bien es posible cualquier conexión con
los "intereses estratégicos" dado el tamaño y el alcance de la estrategia a
largo plazo de la mayoría de los estados, el análisis de Dragos encuentra
que dicho vínculo es increíblemente tenue basado en la evidencia
disponible. Los argumentos ofrecidos a favor de la participación iraní
incluyen la superposición con la actividad de limpiaparabrisas Dustman
informada anteriormente, la presunta probabilidad de tener intrusiones
superpuestas en el mismo entorno al mismo tiempo y las supuestas
similitudes técnicas entre EKANS y operaciones conocidas vinculadas a
Irán.

En los tres casos, la evidencia actual no respalda la afirmación de una


asociación con las operaciones cibernéticas iraníes. [18]

Primero, la correlación con Dustman es extraña ya que todas las pruebas


disponibles indican que Dustman tuvo lugar a fines de diciembre de 2019,
mientras que EKANS parece haber estado activo a mediados de diciembre
de 2019. Además, surgieron informes autorizados de Dustman de Arabia
Saudita y no de Bahrein, lo que implica que Dustman actividad centrada
en gran medida en este país. [19] Si bien es posible que Bapco haya sido
afectado por ambos eventos, incluso si este es el caso, tal observación no
necesita ni implica un vínculo entre los eventos.

Lo que lleva a la segunda preocupación, donde los informes de los


proveedores y las citas de los medios indican que es poco probable que
dos entidades separadas se involucren en un entorno de víctimas
simultáneamente. Sin embargo, como se ve en casos de alto perfil como
la intrusión del Comité Nacional Demócrata de 2016, [20] tales
operaciones existen, y una gran cantidad de otros casos indican que
pueden no ser raros. Por lo tanto, si Bapco experimentó un evento
Dustman y Bapco también es víctima de EKANS, estos dos eventos
representan una coincidencia y no prueban ninguna relación o vínculo con
una autoridad de coordinación general por sí mismos.

Se hacen referencias en las dos fuentes referenciadas sobre


"marcadores" técnicos que demuestran la similitud de EKANS con los
eventos vinculados a Irán. Desafortunadamente, tales marcadores no
están presentes. La actividad disruptiva de TI asociada a Irán, informada
públicamente en el pasado, se centró exclusivamente en el uso de
variantes de malware similares a Disttrack que armaban el controlador
ElodS RawDisk para inutilizar las máquinas víctimas, desde el Shamoon
original hasta ZeroCleare y Dustman. [21] En ausencia de cualquier
contexto adicional, EKANS parece ser una variante de ransomware
bastante estándar, aunque con alguna funcionalidad adicional
preocupante. Si bien hay ejemplos de malware similar al ransomware que
se utiliza como un medio para lograr una destrucción generalizada,
[22]No existe evidencia de que EKANS fue diseñado para imitar dicha
funcionalidad. Además, la experiencia pasada tanto en el ámbito
cibernético como físico (dado que los intereses vinculados a Irán estaban
felices de lanzar misiles y drones destructivos contra la infraestructura
petrolera saudita en septiembre de 2019) [23] agrega una carga
significativa al argumento que tal actor desearía o necesitaría ofuscar
operaciones.

En general, no existe evidencia sólida o convincente para vincular EKANS


con los intereses estratégicos iraníes. Si bien es posible un enlace a
Bapco dada la dirección de correo electrónico del rescate, cualquier otra
correlación con la actividad asociada con Irán simplemente no está
respaldada por ninguna evidencia disponible.

Mitigaciones
En la actualidad, Dragos no es consciente de cómo EKANS se distribuye
dentro de las redes de víctimas. La defensa primaria contra el
ransomware como EKANS se basa en evitar que llegue o se propague a
través de la red en primer lugar.

Anfitrión
A diferencia de otras variantes recientes de ransomware, EKANS no
tiene código firmado. La implementación de controles en las redes del
sistema de control para prohibir la ejecución de archivos binarios sin
firmar puede, por lo tanto, mitigar la ejecución de malware como este.
Desafortunadamente, muchos paquetes de software de proveedores
legítimos continúan siendo distribuidos en forma no firmada, por lo que
esta estrategia de mitigación puede no ser práctica en muchos casos.
Similar a lo anterior pero confiando en mecanismos más genéricos, las
organizaciones pueden prohibir o al menos monitorear la ejecución de
ejecutables previamente no vistos desde fuentes no estándar o no
actualizadas. Una vez más, aunque imperfecto dado la forma en que se
crean y distribuyen algunos paquetes de software legítimos, esto puede
servir al menos como una alarma inicial para impulsar una mayor
investigación y posiblemente limitar la propagación de software
malicioso en redes sensibles.
Dentro del contexto de las operaciones del historiador de ICS
específicamente, las organizaciones pueden identificar potencialmente
un ataque disruptivo en progreso mediante la implementación de lógica
o monitoreo en su historiador (como GE Proficy en este caso) para
identificar casos en los que múltiples puntos finales dejan de
comunicarse e informar al historiador aproximadamente al mismo
tiempo. Si bien los sistemas aún pueden estar fuera de línea o
comprometidos, la identificación de este punto de datos al inicio de la
investigación facilitará el análisis de la causa raíz del evento al
identificar la funcionalidad potencial específica de ICS, como la que se
muestra en EKANS.
Aunque es una recomendación frecuente para eventos de ransomware,
las organizaciones deben hacer hincapié en generar copias de
seguridad periódicas de archivos y sistemas importantes y
almacenarlas en una ubicación segura a la que no se pueda acceder
fácilmente desde la red regular. Para las operaciones de ICS en
particular, las copias de seguridad deben incluir los últimos datos de
configuración, archivos de proyecto y elementos relacionados que
estén en buen estado para permitir una recuperación rápida en caso de
que ocurra un evento disruptivo.

Red
Donde sea posible, identifique la transferencia de archivos binarios
desconocidos a través de medios de red desde redes empresariales
para controlar enclaves del sistema. Si bien es imperfecto, identificar
cuándo el código ejecutable ingresa al entorno ICS puede al menos
permitir a los defensores correlacionar esta actividad con otras
observaciones sospechosas (como un nuevo inicio de sesión o
actividad de inicio de sesión promiscua) que pueden indicar que hay
una intrusión en curso.
El equipo de servicios profesionales de Dragos ha trabajado con
empresas afectadas por ataques de ransomware. Las siguientes son
algunas lecciones clave aprendidas al responder a incidentes de
ransomware en empresas industriales.

Cuidado con tus copias de seguridad


Muchos ataques de ransomware también afectan la infraestructura de
respaldo. En un incidente reciente de ransomware al que Dragos
respondió, los atacantes cifraron el almacenamiento conectado a la red
(NAS) de Synology que se montó como un recurso compartido de
Bloque de mensajes de servidor (SMB) en todos los sistemas para
almacenar copias de seguridad. Afortunadamente, un ingeniero había
decidido previamente tomar una copia de las copias de seguridad en un
disco externo. Desafortunadamente, las copias de seguridad tenían
aproximadamente 18 meses de antigüedad, por lo que la víctima perdió
muchos datos de producción y las mejoras de ingeniería y los cambios
lógicos realizados durante ese tiempo.

Además de mantener copias de seguridad fuera de línea, los


procedimientos de copia de seguridad deben considerar no solo los
sistemas, sino también los datos críticos. Si bien hacer una copia de
seguridad de un sistema puede estar bien cada tres meses, por
ejemplo, los datos críticos necesarios para las operaciones comerciales
pueden estar disponibles hasta el día o la hora. Las empresas deben
asegurarse de que esta información se identifique y clasifique en
función de la importancia y esté disponible si todos los sistemas están
encriptados. Además, Dragos recomendó que se haga una copia de
seguridad de la lógica después de cualquier cambio significativo.

No descuides la capa de control


Al realizar esfuerzos de recuperación en una red de planta, el enfoque
principal puede ser restaurar el control de supervisión, como los activos
de Windows afectados. Sin embargo, es posible que los atacantes
utilicen ransomware para cubrir los impactos del proceso secundario o
encubrir la verdadera intención de un atacante. En investigaciones
recientes de Dragos, hemos encontrado evidencia de atacantes que
investigan controladores de automatización, probablemente
enumeración y escaneo de redes, sin embargo, esto es difícil de
verificar. En este caso, la única lógica de controlador disponible databa
de solo 18 meses, por lo que la verificación lógica identificó muchos
cambios inesperados y no estaba claro si los atacantes u operadores
que olvidaron documentar los cambios eran responsables.

Dragos recomienda a los operadores garantizar que la lógica del


controlador se respalde con frecuencia y que haya procedimientos
disponibles para verificar la lógica después de un incidente. Además,
los propietarios y operadores de activos pueden querer investigar con
los proveedores para identificar el tipo de registros de seguridad
disponibles en los controladores.

El tiempo es la esencia
Los adversarios responsables de los incidentes de ransomware actúan
rápidamente. En muchos casos, los adversarios no están interesados
en la infraestructura o los datos subyacentes, solo quieren encriptar los
sistemas lo más rápido posible. En el incidente de ransomware del
cliente mencionado anteriormente, los respondedores observaron un
cambio de menos de 24 horas entre el acceso inicial, la obtención del
administrador de dominio y la implementación del ransomware en toda
la planta. Los atacantes en este evento dejaron caer más de 30
herramientas en los puntos finales y las credenciales de autenticación
forzada bruta. Los procedimientos adecuados de monitoreo y respuesta
podrían detectarlos y bloquear el ataque; Sin embargo, los
respondedores deben actuar rápidamente.

Conclusiones
El ransomware EKANS es único, ya que se une a un puñado de variantes
de malware específicas de ICS, como Havex y CRASHOVERRIDE, al tener
referencias específicas a procesos industriales. Al mismo tiempo, la
implementación real de EKANS de dicha funcionalidad es
extremadamente primitiva con un impacto industrial indeterminado.

El malware EKANS y su intento de detener procesos particulares


relacionados con la industria es una mayor evolución y contexto en
torno a la creciente amenaza cibernética a los sistemas de control
industrial, pero EKANS es más una novedad que un riesgo discreto y
preocupante.

No obstante, EKANS (y su probable predecesor MEGACORTEX)


representan una evolución adversa para mantener los entornos del
sistema de control específicamente en riesgo. Como tal, EKANS, a pesar
de su funcionalidad y naturaleza limitadas, representa una evolución
relativamente nueva y profundamente preocupante en el malware
dirigido a ICS. Mientras que anteriormente el malware específico de ICS
o relacionado con ICS era únicamente el campo de juego de las
entidades patrocinadas por el estado, EKANS parece indicar que los
elementos no estatales que persiguen ganancias financieras ahora
también están involucrados en este espacio, aunque solo sea a un nivel
muy primitivo. Como resultado, corresponde a los propietarios y
operadores de activos de ICS aprender no solo de cómo funciona
EKANS, sino también de las innumerables formas en que el software
malicioso como EKANS puede propagarse y distribuirse en entornos de
sistemas de control para preparar una defensa relevante y accionable.

Apéndice A - Procesos dirigidos EKANS

Proceso Descripción

Recopilador de datos
bluestripecollector.exe
BlueStripe

ccflic0.exe Licencias Proficy

ccflic4.exe Licencias Proficy

cdm.exe Nimsoft relacionados

certificateprovider.exe Ambiguo

client.exe Ambiguo

client64.exe Ambiguo

Recopilador de datos
collwrap.exe
BlueStripe

Suite de conectividad
config_api_service.exe industrial ThingWorx,
ambigua
dsmcsvc.exe Cliente de Tivoli Storage
Manager

Servidor RabbitMQ
epmd.exe
(SolarWinds)

erlsrv.exe Erlang

Servicio de licencias de
fnplicensingservice.exe
FLEXNet

Administrador de licencias de
hasplmv.exe
Sentinel Hasp

hdb.exe Honeywell HMIWeb

healthservice.exe Microsoft SCCM

ilicensesvc.exe Licencias de GE Fanuc

inet_gethost.exe Erlang

keysvc.exe Ambiguo

Servicio de agente de gestión


managementagenthost.exe
de VMWare CAF

Monitoringhost.exe Microsoft SCCM

Servicio de integración de
msdtssrvr.exe
Microsoft SQL Server

Servicios de análisis de
msmdsrv.exe
Microsoft SQL Server

Servicio de notificaciones de
musnotificationux.exe
actualización de Microsoft
n.exe Ambiguo

nimbus.exe Broadcom Nimbus

npmdagent.exe Microsoft OMS Agent

ntevl.exe Nimsoft Monitor

ntservices.exe 360 Total Security

pralarmmgr.exe Proficy Related

Proficy Historian Data


prcalculationmgr.exe
Calculation Service

prconfigmgr.exe Proficy Related

prdatabasemgr.exe Proficy Related

premailengine.exe Proficy Related

preventmgr.exe Proficy Related

prftpengine.exe Proficy Related

prgateway.exe Proficy Secure Gateway

Proficy License Server


prlicensemgr.exe
Manager

proficy administrator.exe Proficy Related

proficyclient.exe Proficy Related

proficypublisherservice.exe Proficy Related

proficyserver.exe Proficy Server

proficysts.exe Proficy Related


prprintserver.exe Proficy Related

prproficymgr.exe Proficy Plant Applications

prrds.exe Proficy Remote Data Service

Proficy Historian Data


prreader.exe
Calculation Service

prrouter.exe Proficy Related

prschedulemgr.exe Proficy Related

prstubber.exe Proficy Related

prsummarymgr.exe Proficy Related

Proficy Historian Data


prwriter.exe
Calculation Service

Microsoft SQL Server


reportingservicesservice.exe
Reporting Service

Proficy Event Log Service,


server_eventlog.exe
Ambiguous

server_runtime.exe Proficy Related, Ambiguous

spooler.exe Ambiguous

sqlservr.exe Microsoft SQL Server

taskhostw.exe Windows OS

VMWare Guest
vgauthservice.exe
Authentication Service

vmacthlp.exe VMWare Activation Helper


vmtoolsd.exe VMWare Tools Service

win32sysinfo.exe RabbitMQ

winvnc4.exe WinVNC Client

workflowresttest.exe Ambiguous

Footnotes
[1] Vitali Kremez; SNAKE Ransomware is the Next Threat Targeting
Business Networks – BleepingComputer; Dragos WorldView customers
should consult TR-2020-02 EKANS Ransomware and ICS Operations

[2] Ransomware Linked to Iran, Targets Industrial Controls – Bloomberg;


Snake: Industrial-Focused Ransomware with Ties to Iran – Otorio

[3] The Epic Turla (snake/Uroburos) Attacks – Kaspersky; Turla – MITRE

[4] Implications of IT Ransomware for ICS Environments – Dragos

[5] Out of Control: Ransomware for Industrial Control Systems – David


Formby, Srikar Durbha, and Raheem Beyah; ClearEnergy – The “In the
Wild” SCADA Ransomware Attacks that Never Existed –
BleepingComputer

[6] Open Mal Analysis Notes – Sysopfb (GitHub)

[7] Proficy Historian – GE

[8] HMIWeb Solutions – Honeywell; Fanuc

[9] ThingWorx Industrial Connectivity Product Brief – PTC; FlexNet


Licensing – Flexera; Sentinel HASP – Gemalto

[10] Ransomware or Wiper? LockerGoga Straddles the Line – Cisco Talos;


Dragos WorldView subscribers should also review TR-2019-30 Revisiting
LockerGoga

[11] CTemplar
[12] Our Company – Bapco

[13] New Iranian Data Wiper Malware Hits Bapco, Bahrain’s National Oil
Company – ZDNet; Dragos WorldView subscribers should also review AA-
2020-01.2 Possible Wiper Activity in the Middle East and TR-2020-03
Dustman Wiper Activity in the Gulf Region

[14] MegaCortex Ransomware Spotted Attacking Enterprise Networks –


TrendMicro

[15] Technical Analysis of MegaCortex Version 2 Ransomware –


Accenture

[16] Snake: Industrial-focused Ransomware with Ties to Iran – Otorio

[17] Ransomware Linked to Iran, Targets Industrial Controls – Bloomberg

[18] Getting the Story Right, and Why It Matters – Joe Slowik

[19] Saudi Arabia CNA Report

[20] CrowdStrike’s Word with the Democratic National Committee:


Setting the Record Straight – Crowdstrike

[21] Shamoon2: Return of the Disttrack Wiper – Palo Alto Unit42; RawDisk
– MITRE; New Destructive Wiper “ZeroCleare” Targets Energy Sector in
the Middle East – IBM; Shamoon: Destructive Threat Re-Emerges with
New Sting in Its Tail – Symantec

[22] La historia no contada de NotPetya, el ciberataque más devastador


de la historia - Wired

[23] Fotos de ataque petrolero saudita implican a Irán, dice Estados


Unidos; Trump insinúa acción militar - The New York Times

Entradas recientes del blog


Los 5 principales mitos de seguridad cibernética de ICS: qué impide que
su organización reduzca el riesgo
6 de febrero de 2020

Resumen de la inteligencia de amenazas y los límites del análisis de


malware
5 de febrero de 2020

ICS está en todas partes en Dragos


29 de enero de 2020

Una mirada más cercana a MITER ATT & CK para ICS


15 de enero de 2020
Dragos se une a la ISA Global Cybersecurity Alliance (GCA) como miembro
fundador y copreside un nuevo evento
14 de enero de 2020

PRODUCTOS Y SERVICIOS

Plataforma Dragos

Inteligencia de amenazas: WorldView

Guardián del barrio

1745 Dorsey Rd Servicios profesionales

Hanover, Maryland 21076 Formación

info@dragos.com

Política de privacidad

Términos de servicio

RECURSOS MEDIOS DE COMUNICACIÓN

Libros blancos Noticias

Seminarios web Comunicados de prensa

Hojas de datos y folletos Videos

Infografia Podcasts

Año en revisión

Informes de adversarios

EMPRESA

Sobre nosotros

Premios

Blog

Carreras

DTO

Eventos
Conocer al equipo

Contáctenos

COPYRIGHT © 2019 DRAGOS, INC. TODOS LOS DERECHOS RESERVADOS.

PARA OBTENER INFORMACIÓN SOBRE CÓMO RECOPILAMOS, USAMOS, COMPARTIMOS O PROCESAMOS

INFORMACIÓN SOBRE USTED, CONSULTE NUESTRA POLÍTICA DE PRIVACIDAD EN

HTTPS://WWW.DRAGOS.COM/PRIVACY .