Za izsiljevaljsko programsko opremo (ang. ransomware) je značilno, da zelo omeji delovanje ustanove, v kateri se zasidra. Do sedaj smo že poročali o različnih vrstah, ki so okužile javne uprave v različnih mestih, strežnike in celo bolnišnice. Nova različica ransomwara, imenovana Ekans, ki je bila odkrita prejšnji mesec, pa cilja na še bolj občutljiva mesta: kontrolne sisteme industrijskih obratov.
S tem niso mišljene le tovarne, temveč tudi procesi, ki tečejo v kontrolnih sistemih za električna, vodna in plinska omrežja, v rafinerijah in celo v jezovih. Raziskovalci varnostnega podjetja Dragos so v Ekansu poleg običajne programske kode za onemogočitev varnostnih kopij in enkripcijo datotek na okuženih sistemih našli še kodo, ki je posebej namenjena temu, da na okuženem sistemu poišče procese, preko katerih tečejo aplikacije za nadzor industrijskih sistemov.
Vir: Science
Ekans to opravi še pred enkripcijo ostalih datotek, deluje pa precej preprosto: v kodi je seznam imen 64 procesov, Ekans pa seznam primerja s procesi, ki tečejo na sistemu in ujemajoče se procese onemogoči. Na seznamu so med drugimi tudi procesi, ki jih uporabljajo programski vmesniki podjetja Honeywell (ki proizvaja najrazličnejše kontrolne sisteme, od termostatov do nadzornih plošč v letalih), licenčni strežniki za široko uporabljane izdelke podjetja GE Fanuc (namenjeni avtomatizaciji širokega nabora industrijskih procesov) in program Proficy Historian podjetja General Electric, ki se uporablja za beleženje podatkov s kontrolnih sistemov. Enak seznam 64 procesov je uporabljala tudi ena od različic izsiljevalske programske opreme MegaCortex, ki je razsajala lansko poletje.
S svojo onemogočitvijo normalnega delovanja ustanov je ransomware vedno predstavljal veliko varnostno grožnjo, vendar je bila povzročena škoda običajno omejena na informacijsko omrežje ustanov. Industrijski kontrolni sistemi so običajno ločeni od preostanka omrežja, tako da vključitev zgoraj omenjenih procesov predstavlja korak naprej za napadalce, ki so se začeli zavedati škode, ki jo lahko povzročijo z onemogočitvijo delovanja tovrstnih sistemov.
Ekans ni prva tovrstna različica izsiljevalske programske opreme. Poleg prej omenjenega MegaCortexa je na podoben način deloval BlackEnergy, ki je leta 2016 povzročil izpad električnega omrežja v delu Ukrajine, Trisis oz. Triton pa je leta 2017 začasno onemogočil delovanje iz varnostnih razlogov neimenovane rafinerije na Bližnjem vzhodu. Raziskovalci Dragosa so Ekans v primerjavi z ostalim ransomwarom sicer označili za primitivnega, vendar bi lahko še vedno povzročil znatno škodo v pravem okolju.
Uvodna fotografija: CISPA
