ICS関連プロセスを停止できるランサムウェア EKANS

記事をシェアする:

セキュリティーの研究者は、EKANSランサムウェアが組織の産業用制御システム（ICS）に関連するプロセスを停止する能力を持っていることを確認しました。

Dragos はその分析で、EKANSランサムウェアがまず被害者のマシンの「EKANS」Mutex値をチェックすることを確認しました。この値が明らかになると、この脅威は活動を停止します。それ以外の場合は、Mutex値を設定し、ICSのオペレーションに関連付けられているいくつかのプロセスを強制終了します。

Dragos によって分析されたサンプルには、ICSプロセスにコマンドを挿入したり変更したりする機能がありませんでした。そうであっても、研究者は、脅威が適切なシステムで実行された場合、ネットワーク上で表示状態を失う可能性があると指摘しました。その時点で、EKANSは身代金のメモを落とす前にファイルの暗号化プロセスを進めました。

Dragos は、ランサムウェアはシステムを再起動またはシャットダウンしたり、リモート・アクセスのチャネルを閉じたりするようにプログラムされていないことに注意しました。この機能がないため、セキュリティー会社が分析するEKANSサンプルは、以前はICSシステムを対象としていたいくつかのランサムウェア・ファミリーよりも混乱が少なくなります。それでも、EKANSが「不注意による制御不能」を引き起こしたかどうかについては不確実性があると研究者たちは述べています。

別のランサムウェア・ファミリーとのつながり

Dragos は、ランサムウェアを調査しているときに、EKANSのサンプルが組み込みの伝播メカニズムを備えていないという点で、MegaCortexファミリーのように動作することを発見しました。 代わりに、スクリプトまたはActive Directoryの侵害を使用して脅威が拡散したことがわかりました。この手法により、EKANSは企業ネットワークの大規模な侵害を犯すことができたと研究者たちは述べています。

Dragos がEKANSとMegaCortexの間に発見した唯一のつながりではありません。これは、エンタープライズ・ネットワークをターゲットにし始めた2019年5月にTrend Microの注目を集めたランサムウェアです。 セキュリティー会社は、EKANSのプロセス終了アクティビティーは、2019年半ばにMegaCortexの「バージョン2」でアクセンチュアが観察した機能に類似していると指摘しました。さらにDragosは、EKANSにリスト化されているすべてのプロセスがMegaCortexのkillリストに表示されていることを発見しました。

EKANSランサムウェアから身を守る方法

セキュリティー担当者は、最新の脅威インテリジェンスを使用して新しいランサムウェア・ファミリーとテクニックの出現を追跡することにより、EKANSランサムウェアの感染から組織を守るのを支援することができます。重要なインフラストラクチャーまたは大規模なOT（オペレーショナル・テクノロジー）環境に接続している企業は、スタッフ教育を追加し、組織の重要なICSコンポーネントのセキュリティーの準備状況を評価するためのテスト・プログラムにも投資する必要があります。

【関連情報】

IBM X-Force脅威インテリジェンス・インデックスのハイライト

OT/IoT のセキュリティー

OT、IoT、IoMT へと攻撃対象の拡大に対応した脅威マネジメント

【お問い合わせ】

メールでのお問い合わせはこちらから

【著者情報】

David Bisson

Contributing Editor
David Bissonは、InfoSecのニュース・マニアで、セキュリティー・ジャーナリストです。 Graham Cluley Security Newsの寄稿編集者およびTripwireの「The State of Security」ブログのアソシエイト編集者として働いています。

この記事は次の記事の抄訳です。
EKANS Ransomware Capable of Stopping ICS-Related Processes (英語)