Прославившийся ранее в июне своей кибератакой на японского производителя техники шифровальщик Snake (он же EKANS) обнаружил любопытные технические детали своей деятельности.
Вирус был впервые обнаружен ИБ-специалистами в январе 2020 года, и за прошедшие месяцы превратился в весьма распространенную угрозу для промышленных систем управления (ICS), под которые специально «заточен».
Во-первых, Snake вырубает процессы из заранее подготовленного списка, включая процессы, связанные с ICS. Во-вторых, он обычно похищает данные компаний, перед тем как приступить к шифрованию файлов, а затем операторы вымогателя требуют выкуп за эту информацию.
В-третьих, как теперь выясняется (по данным Deep Instinct), зловред старательно изолирует зараженные машины, чтобы никто не помешало процессу шифрования файлов. Для этого разработчики Snake «научили» свою малварь перед началом шифрования использовать брандмауэр Windows, чтобы блокировать любые входящие и исходящие сетевые подключения к компьютеру жертвы, которые не числятся в настройках брандмауэра. Для этой цели используется встроенный в Windows инструмент netsh.
Также малварь ищет процессы, которые могут помешать процессу шифрования, и ликвидирует их. Это касается процессов промышленных приложений, защитных инструментов и решений для резервного копирования. Snake также удаляет теневые копии, чтобы максимально затруднить восстановление данных.
Fortinet со своей стороны сообщают, что вымогатель предпочитает атаковать контроллеры домена, которые прицельно ищет в сети после изначального заражения. Для этих целей Snake использует WMI-запросы и определяет роли различных машин в сети.
Читайте также на АКБ:
