Negli ultimi mesi, i ricercatori hanno scoperto che i ransomware non si limitano più a mettere in ginocchio governi locali, ospedali e distretti scolastici, ma arrivano addirittura a manomettere i sistemi di controllo industriali da cui dipende la sicurezza delle apparecchiature necessarie per il funzionamento di dighe, reti elettriche e raffinerie di gas
» Leggi: Un ransomware impedisce agli ospedali di prendere in carico i pazienti
» Leggi: Attacco ransomware mette in ginocchio 22 città in Texas
Lo scorso mese è stata scoperta una varietà di ransomware soprannominata Ekans (l'anagramma di Snake, ossia "serpente") che, oltre a disabilitare i backup dei dati e a crittografare i file dei sistemi infetti, opera in maniera molto più dirompente e subdola. In particolare, i ricercatori della società di sicurezza Dragos hanno scoperto che il ransomware contiene un codice dannoso che ricerca e quindi blocca in maniera forzosa le applicazioni utilizzate nei sistemi di controllo industriali (ICS).
Prima di iniziare le operazioni di crittografia dei file, il ransomware interrompe tutti i processi elencati in una lista interna. In tutto, Ekans è capace di interrompere 64 processi (inclusi l'interfaccia uomo/macchina di Honeywell e il software industriale Proficy Historian di General Electric). E questi stessi processi - a quanto pare - erano già stati presi di mira anche dal ransomware MegaCortex lo scorso agosto.
Finché i ransomware si limitavano a colpire ospedali, scuole e contee, i danni rimanevano circoscritti entro i sistemi IT delle reti oggetto dell'attacco. Ora, però, si delinea la possibilità concreta che questa nuova tipologia di ransomware causi l'interruzione dei sistemi industriali.
Il ransomware Ekans non è pericoloso come i "malware industriali"
Fortunatamente, però, dal rapporto di Dragos su Ekan sembra che la struttura del ransomware sia ancora molto rozza e semplice. Niente a confronto di malware pericolosi e sofisticati come Industroyer, che causò un'interruzione di corrente in Ucraina a dicembre 2016, centrando in pieno l'obiettivo dei criminali di lasciare le famiglie senza elettricità durante il gelido inverno russo. E l'anno prima, sempre in Ucraina, vi era stato un attacco simile: il malware Black Energy aveva causato un blackout in tutta la regione. La lista dei malware con obiettivi industriali sarebbe molto lunga. Ci limitiamo a citare solo il worm Stuxnet che colpì il programma nucleare iraniano dieci anni fa e il malware di spionaggio Havex, che prese di mira 2 mila siti mappandone i relativi apparecchi e dispositivi industriali.
Peraltro, sempre secondo Dragos, Ekans è da considerarsi un "attacco relativamente primitivo" perché privo di alcun meccanismo di diffusione. Ciò rende Ekans molto meno minaccioso rispetto a ransomware come Ryuk, che per mesi raccoglie silenziosamente le credenziali contenute nei sistemi infetti, per poi proliferare e diffondersi a tutta la rete presa di mira
» Leggi: Louisiana sotto attacco: è Ryuk il responsabile
ekans è stato creato dall'Iran?
Nel suo report, Dragos ha contestato la recente notizia secondo cui Ekans sarebbe stato creato dall'Iran. Sebbene una ricerca condotta dalla società di sicurezza Otorio citasse somiglianze con alcuni malware iraniani, i ricercatori di Dragos ritengono che non vi siano prove di un tale legame, peraltro molto debole.
Nonostante ciò, Ekans merita una seria attenzione da parte di chi si occupa di apparecchiature e dispositivi industriali. La minaccia esiste e non bisogna sottovalutarla.
