（文章來源：E安全）
? ? ?? 據(jù)外媒報(bào)道，一個(gè)名為EKAN的勒索軟件（也稱為Snake）于2019年12月首次出現(xiàn)，并且正在針對工業(yè)控制系統(tǒng)（ICS）發(fā)動(dòng)勒索軟件攻擊。據(jù)悉，自EKANS（又名Snake）首次出現(xiàn)以來，來自各個(gè)安全機(jī)構(gòu)的研究人員一直在對其進(jìn)行分析，發(fā)現(xiàn)EKANS除其他事項(xiàng)外，能夠停止與工業(yè)控制系統(tǒng)（ICS）操作相關(guān)的許多流程應(yīng)用程序。

對此，來自德拉戈斯的研究人員表示，盡管目前所有跡象都顯示出對控制系統(tǒng)網(wǎng)絡(luò)的攻擊機(jī)制相對比較原始，但靜態(tài)“殺傷力清單”中列出的過程中的特殊性表明，此前針對工業(yè)領(lǐng)域的勒索軟件沒有這種故意性。

由來自MalwareHunterTeam，SentinelOne和Dragos的研究人員分析表示，EKANS勒索軟件具有針對Windows系統(tǒng)的通用勒索軟件相關(guān)的許多相同特征，例如在目標(biāo)系統(tǒng)上進(jìn)行交付時(shí)，該勒索軟件首先檢查自身是否已經(jīng)存在于系統(tǒng)中，如果沒有，則會(huì)強(qiáng)行停止較長的進(jìn)程列表，然后再開始執(zhí)行相關(guān)的加密操作，并刪除受害計(jì)算機(jī)上的相關(guān)備份內(nèi)容。

Ragos研究人員指出，雖然該款勒索軟件某些引用過程似乎與安全管理軟件Qihoo 360 Safeguard和Microsoft System Center相似，但列出的大多數(shù)過程都與數(shù)據(jù)庫信息，數(shù)據(jù)備份解決方案和ICS生產(chǎn)流程相關(guān)。

同時(shí)，專家表示，目前EKANS還無法操縱與ICS生產(chǎn)相關(guān)的過程，因此其破壞性僅限于使管理員無法了解控制系統(tǒng)和網(wǎng)絡(luò)上正在發(fā)生的事情。它對實(shí)際工業(yè)環(huán)境的影響將取決于其特定的設(shè)置，配置，過程鏈接等。根據(jù)Dragos研究人員的說法，該惡意軟件無法自行進(jìn)行傳播，只能依靠攻擊者以交互方式或通過腳本啟動(dòng)它。因此，目前它與大多數(shù)勒索軟件相比破壞性較小，因?yàn)楹诳驮谡麄€(gè)攻擊過程中都保持對加密系統(tǒng)用戶的訪問，該勒索軟件不會(huì)重新引導(dǎo)，關(guān)閉或關(guān)閉遠(yuǎn)程訪問通道。

目前，雖然Otorio的研究人員認(rèn)為該惡意軟件是由伊朗贊助的，但據(jù)德拉戈斯的對手獵人Joe Slowik稱，這一說法缺少有說服力的證據(jù)。同時(shí)，在另一方面，似乎EKANS與MegaCortex勒索軟件的第二版本相似，后者還具有一個(gè)顯示進(jìn)程的“ kill list”列表，其中還包括EKANS停止攻擊的進(jìn)程。

基于這些信息，EKANS作為勒索軟件針對ICS的相關(guān)攻擊似乎不是唯一的，或者說它至少不是第一。因?yàn)镈ragos研究人員指出，目前MegaCortex勒索軟件也被用于針對攻擊美國，加拿大和歐洲部分地區(qū)的大型公司網(wǎng)絡(luò)和工作站。
? ? ?