O Kaspersky ICS CERT publicou uma análise inédita sobre o padrão de comportamento do ransomware Snake (ou Ekans), que foi responsável pela paralisação de atividades industriais nos últimos meses, após ataques a diversas empresas em diferentes partes do mundo.
Eles também estão enviando mensagens se passando pela Organização Mundial da Saúde
De acordo com o relatório divulgado, o Snake – capaz de criptografar e impedir que a empresa acesse os documentos de trabalho – atua de maneira direcionada, disfarçando-se com os mesmos domínios e endereços IP das redes invadidas para obter livre acesso e executar a codificação dos arquivos. Segundo a pesquisa, essa informação indicaria ainda que a ação do Snake representa apenas a última de uma série de etapas pré-coordenadas.
Antes de estruturar o ransomware, por exemplo, os cibercriminosos precisam descobrir os registros de endereço dos seus alvos, e, em alguns casos, eles obtêm esses dados por meio de servidores de DNS públicos.
Como ressalta o site Bleeping Computer, este software malicioso tem como alvo especificamente toda a rede, em vez de estações de trabalho individuais. De acordo com a Kaspersky, além da fabricante de automóveis e motocicletas Honda, as vítimas do Snake incluem a empresa de energia Enel Group, uma empresa alemã que fornece seus produtos para montadoras e outros fabricantes industriais, além de uma companhia que atua no segmento de equipamentos e suprimentos médicos. Aparentemente, outras montadoras e empresas de fabricação também foram atacadas: amostras semelhantes foram detectadas em computadores na China, Japão e Europa. Portanto, os pesquisadores acreditam que o ataque pode ter ido além dos sistemas de TI dos principais alvos do Snake.
Para identificar indícios de um ataque do Ekans e evitar possíveis danos, o Kaspersky ICS CERT recomenda algumas medidas, entre elas usar os IoCs (indicadores de compromisso) fornecidos no relatório para identificar infecções em estações de trabalho e servidores Windows; verificar tarefas ativas no Agendador de Tarefas do Windows, tanto em estações de trabalho quanto em servidores, para a busca de códigos maliciosos e alterar as senhas de todas as contas no grupo de administradores de domínio.
Para mais informações, acesse aqui a íntegra do relatório do site do Kaspersky ICS CERT.
FONTE: MUNDO CONECTADO