Traduzido e adaptado de “Targeted attacks on industrial companies using Snake ransomware”.
De acordo com os dados do Kaspersky ICS CERT, várias empresas industriais estão atualmente enfrentando ataques direcionados que envolvem o ransomware criptográfico SNAKE.
Em 8 de junho de 2020, foram relatados problemas que afetavam as redes de computadores da Honda, uma fabricante japonesa de motocicletas e automóveis, na Europa e no Japão. Uma amostra do malware Snake descoberto por alguns pesquisadores do VirusTotal verificou o nome de domínio da Honda, “mds.honda.com” (que provavelmente é usado na rede interna da empresa). Se o nome do domínio não puder ser resolvido (ou seja, se o endereço IP correspondente não puder ser determinado), o ransomware será encerrado sem criptografar nenhum arquivo. Segundo os pesquisadores, isso pode indicar que a atividade dos atacantes é direcionada.
Os especialistas do Kaspersky ICS CERT usaram seus próprios dados de telemetria para identificar outras amostras semelhantes à amostra carregada no VirusTotal, e os resultados da pesquisa indicam claramente que os atacantes realizam ataques de vários estágios, cada um direcionado a uma organização específica. Criptografar arquivos usando o Snake é o estágio final desses ataques.
Aparentemente, cada amostra do Snake foi compilada, e nas amostras analisadas, o endereço IP e o nome de domínio são armazenados como sequencias de caracteres, dificultando o patch após a compilação.
Vale lembrar que um importante recurso distintivo do Snake é que ele visa, entre outras coisas, sistemas de automação industrial – especificamente ele foi projetado para criptografar arquivos usados pelo General Electric ICS. Isso é evidenciado pelo fato de o malware tentar finalizar os processos do software General Electric antes de iniciar o processo de criptografia de arquivos.
Recomendações
Para identificar traços de um ataque e evitar possíveis danos, o Kaspersky ICS CERT recomenda:
- Utilizar os indicadores de compromisso fornecidos para identificar infecções em estações de trabalho e servidores Windows;
- Verificar as políticas e scripts de domínio ativo quanto a códigos maliciosos;
- Verificar tarefas ativas no Agendador de Tarefas do Windows em estações de trabalho e servidores em busca de código malicioso;
- Alterar as senhas de todas as contas no grupo de administradores de domínio.