Il ransomware Ekans/Snake è nuovo ma si sta facendo rapidamente una “buona reputazione”: ultime vittime riportante Honda ed Enel, mentre a maggio aveva colpito la grande catena di ospedali europea Fresenius, con il consueto blocco di computer e delle relative attività.
Indice degli argomenti
Ransomware Ekans su Enel e Honda: che è successo
Enel ha riferito che domenica il ransomware ha causato un disservizio sulla rete informatica interna, che è stata temporaneamente bloccata; già da lunedì il problema è stato risolto ma ci possono essere stati disservizi sulle attività di assistenza ai clienti. Nessun danno invece agli degli impianti di distribuzione e delle centrali elettriche.
Honda oggi in una nota ha comunicato che alcune attività nel customer service e servizi finanziari sono state bloccate per colpa del ransomware, in Europa e Stati Uniti. Impatti anche sulla produzione, non meglio specificati per ora.
Ekans/Snake
Vari ricercatori sono giunti alla conclusione che il ransomware in questione è Ekans, anagramma di Snake, specializzato per colpire i sistemi di controllo industriale (ICS), come Stuxnet e Ryuk, rispetto ai quali avrebbe però una struttura molto più semplice. Se fosse riuscito nell’intento di bloccare i sistemi di telecontrollo di Enel – come fatto con Crash Override e Black Energy sulla rete elettrica ucraina – avremmo avuto un blackout. Ma quello è stato realizzato con tutta la competenza dell’arsenale cyber dello Stato russo. Ekans non ha probabilmente avuto la stessa genesi “fortunata”.
Sicurezza nelle infrastrutture critiche, gli attacchi ICS: cosa sono e come difendersi
Dalle prime indagini di alcuni esperti, risulterebbe che la diffusione è via phishing mail, in allegato. “Può essere l’ennesimo attacco di tipologia ransomware che sfrutta l’ingenuità umana; anche se da successive indagini potrebbe trattarsi di vulnerabilità del server front-end*”, conferma Marco Ramili, di Yoroi.
“Le pronte difese messe in atto dalle vittime hanno sicuramente limitato l’attacco. Ma non ci consoli: stavolta è andata bene, la prossima chissà. A questo punto è evidente che è necessario investire in nuova tecnologia in protezione di e-mail- continua. La formazione può aiutare a diminuire la probabilità di riuscita di questi attacchi, ma la curiosità umana (nel cliccare un allegato attraente) a volte può prendere il sopravvento e proprio in quei momenti è necessaria la tecnologia. Non conosco i dettagli delle vittime né come esse abbiano incontrato questo attacco ma con altra probabilità i sistemi di protezione adottati non sono riusciti a riconoscere la minaccia e per questo hanno penetrato i sistemi esterni”.
Seguono schermate dell’analisi fatta da Yoroi.
*Edit: frase aggiunta il 17/06 a fronte di ulteriori indagini svolte sull’accaduto