Ataques direcionados a empresas industriais usando Ransomware Snake

Pirataria, Cibersegurança

Traduzido e adaptado de “Targeted attacks on industrial companies using Snake ransomware”.

De acordo com os dados do Kaspersky ICS CERT, várias empresas industriais estão atualmente enfrentando ataques direcionados que envolvem o ransomware criptográfico SNAKE.

Em 8 de junho de 2020, foram relatados problemas que afetavam as redes de computadores da Honda, uma fabricante japonesa de motocicletas e automóveis, na Europa e no Japão. Uma amostra do malware Snake descoberto por alguns pesquisadores do VirusTotal verificou o nome de domínio da Honda, “mds.honda.com” (que provavelmente é usado na rede interna da empresa). Se o nome do domínio não puder ser resolvido (ou seja, se o endereço IP correspondente não puder ser determinado), o ransomware será encerrado sem criptografar nenhum arquivo. Segundo os pesquisadores, isso pode indicar que a atividade dos atacantes é direcionada.

Os especialistas do Kaspersky ICS CERT usaram seus próprios dados de telemetria para identificar outras amostras semelhantes à amostra carregada no VirusTotal, e os resultados da pesquisa indicam claramente que os atacantes realizam ataques de vários estágios, cada um direcionado a uma organização específica. Criptografar arquivos usando o Snake é o estágio final desses ataques.

Aparentemente, cada amostra do Snake foi compilada, e nas amostras analisadas, o endereço IP e o nome de domínio são armazenados como sequencias de caracteres, dificultando o patch após a compilação.

Vale lembrar que um importante recurso distintivo do Snake é que ele visa, entre outras coisas, sistemas de automação industrial – especificamente ele foi projetado para criptografar arquivos usados ​​pelo General Electric ICS. Isso é evidenciado pelo fato de o malware tentar finalizar os processos do software General Electric antes de iniciar o processo de criptografia de arquivos.

Recomendações

Para identificar traços de um ataque e evitar possíveis danos, o Kaspersky ICS CERT recomenda:

  • Utilizar os indicadores de compromisso fornecidos para identificar infecções em estações de trabalho e servidores Windows;
  • Verificar as políticas e scripts de domínio ativo quanto a códigos maliciosos;
  • Verificar tarefas ativas no Agendador de Tarefas do Windows em estações de trabalho e servidores em busca de código malicioso;
  • Alterar as senhas de todas as contas no grupo de administradores de domínio.