Categories: SicherheitVirus

Ransomware EKANS nimmt Industriekontrollsysteme ins Visier

Forscher von FortiGuard Labs haben die Ransomware EKANS analysiert, die auf Industriekontrollsysteme ausgerichtet ist. Sie befällt ausschließlich Windows-basierte Systeme und ist in der Lage, Dateien zu verschlüsseln. Seit Juni ist zudem eine weiterentwickelte Version im Umlauf, die sogar die Firewalls von infizierten Systemen abschalten kann.

Das erste Muster, das den Forschern Ben Hunter und Fred Gutierrez in die Hände fiel, wurde im Mai kompiliert. In dessen Code fanden sie zahlreiche Fehler – insgesamt mehr als 1200 Strings. Auf die Funktion der Erpressersoftware hatten sie jedoch keinen Einfluss.

Ihrer Analyse zufolge sucht sich EKANS seine Opfer gezielt aus. Dazu versucht die Malware, die Domain des infizierten Systems aufzulösen und mit einer Liste von IP-Adressen abzugleichen. Sollte das Ziel dabei nicht bestätigt wird, bricht die Ransomware ihre Routinen ab.

Wurde jedoch das richtige Ziel angegriffen, such die Ransomware nach Domänencontrollern. Sie verschlüsselt schließlich Dateien und zeigt auch eine Lösegeldforderung an. Ob die Hintermänner nach erfolgter Zahlung tatsächlich einen Entschlüsselungsschlüssel bereitstellen beziehungsweise oder dieser dann auch funktioniert, ist nicht bekannt.

Das zweite, im Juni kompilierte Muster, bietet zusätzliche Funktionen. Es ist offenbar in der Lage, Einstellungen des Industriekontrollsystems zu verändern. Unter anderem kann eine Firewall abgeschaltet werden. Die Forscher vermuten, dass auf diese Art Sicherheitsanwendungen und andere Schutzmaßnahmen erkannt und blockiert werden sollen.

Dateien macht EKANS mit einer RSA-Verschlüsselung unbrauchbar. Darüber hinaus soll die Erpressersoftware beliebige Prozesse beenden, die seine eigenen Aktivitäten behindern könnten. Zudem versucht EKANS, Schattenkopien zu löschen, um eine Wiederherstellung von Daten ohne Schlüssel zu erschweren.

Schon im März hatte FireEye vor einer Zunahme von Schadprogrammen und Hacking-Tools für Industriekontrollsysteme gewarnt. Die Mehrheit der bekannten ICS-Schädlinge ist demnach nicht auf bestimmte Hersteller beschränkt. Es soll aber auch Varianten geben, die nur Produkte eines spezifischen Anbieters befallen.

ANZEIGE

So reagieren Sie auf die gestiegene Nachfrage von Online-Videos – Wichtige Erkenntnisse und Trends

Der von zahlreichen Ländern wegen der Coronakrise eingeführte Lockdown und die damit verbundene soziale Distanzierung haben neue Rekorde im Online-Videoverkehr gebracht. Erfahren Sie in diesem Webinar, wie Sie Daten untersuchen und quantifizieren, um die Belastung von Netzwerken und CDNs einzuschätzen.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ungepatchte Lücke in der Windows-Druckwarteschlange verschafft Malware Admin-Rechte

Forscher umgehen einen von Microsoft im Mai bereitgestellten Patch. Die neue Lücke soll das Einschleusen…

2 Tagen ago

Bericht: Microsoft strebt Übernahme des weltweiten Geschäfts von TikTok an

Dazu gehören auch die Märkte in Europa und Indien. US-Präsident Trump verstärkt indes den Druck…

2 Tagen ago

Durchgesickerte interne Dokumente: Intel prüft Einbruch in seine Systeme

Ein Hacker stiehlt angeblich 20 GByte Daten von Intel. Es handelt sich zum Teil um…

2 Tagen ago

Cisco warnt vor Sicherheitslücken in Routern, Switches und AnyConnect VPN

Sie erlauben Denial-of-Service-Angriffe und den Diebstahl vertraulicher Informationen. Der AnyConnect-Client für Windows gibt Hackern Zugriff…

3 Tagen ago

295 Chrome-Erweiterungen kapern Suchanzeigen von Google und Bing

AdGuard entdeckt sie bei der Suche nach gefälschten Adblockern. Die Erweiterungen bringen es zusammen auf…

3 Tagen ago

Samsung verlängert Android-Upgrades auf drei Jahre

Die Änderung gilt auch für ältere Smartphones wie das Galaxy S10. Es erfährt 2021 nun…

3 Tagen ago