根据A的说法,汽车制造商本田被网络攻击击中报告由英国广播公司(BBC)发布,随后由该公司在一份声明中证实推特。另一种类似的攻击,也是在推特上披露,点击Edesur S.A.,其中一家属于Enel Argentina的公司之一,该公司在布宜诺斯艾利斯市的能源分销业务中运作。

根据网上发布的样本,这些事件可能与EKANS/SNAKE勒索软件家族有关。在这篇博文中,我们回顾了这方面的已知情况ransomware以及我们目前所能分析的。

本田赎金软件攻击,喜欢IC

EKANS勒索软件首次被公开提及要追溯到2020年1月,当时是安全研究员维塔利·克雷梅兹(Vitali Kremez)分享关于一个用GOLANG写的新的有针对性的勒索软件的信息。

该集团似乎对工业控制系统(ICS)有特别的兴趣,详见本文博客保安公司德拉格斯

图1:EKANS赎金通知

6月8日,研究员共享这些勒索软件的样本被认为是针对本田和ENEL INT公司的。当我们开始查看代码时,我们发现了几个可以证实这种可能性的人工制品。

图2:互斥锁检查

当恶意软件执行时,它会尝试解析硬编码的主机名(mds.honda.com)。只有当它这样做时,文件加密才会开始。使用特定主机名的相同逻辑也适用于据称与Enel有关的勒索软件。

图3:负责执行DNS查询的功能

目标:本田

  • 内部域名解析:mds.honda.com
  • 赎金电子邮件:CarrolBidell@tutanota。com

目标:埃奈尔

  • 解析内部域:enelint.global
  • 赎金电子邮件:CarrolBidell@tutanota。com

RDP作为可能的攻击向量

两家公司都有一些带有远程桌面协议(RDP)的机器公开曝光(参考这里)。RDP攻击是目标赎金软件回访时的主要入口点之一。

  • rdp公开:/AGL632956.jpn.mds.honda.com
  • RDP暴露:/ IT000001429258.enelint.global

然而,我们不能得出结论,这就是威胁演员可能已经进入的威胁。最终,只有一个适当的内部调查将能够准确地确定攻击者如何妥协受影响的网络。

检测

我们在实验室中测试了公开可用的勒索软件样本,通过创建一个假的内部服务器,该服务器将响应恶意软件代码用其期望的IP地址发出的DNS查询。然后我们对据称与本田有关的样本进行了调查必威平台APP伪星云,我们为企业提供基于云的终端保护。必威官网多少

图4:Malware必威平台APPbytes星云仪表板显示检测

我们发现这个有效载荷是“赎金”。当它试图执行时。为了测试我们的另一个保护层,我们也禁用了(不推荐)恶意软件保护,让行为引擎做它自己的事情。我们的反勒索软件技术能够在不使用任何签名的情况下隔离恶意文件。

勒索软件团伙毫不留情,即使是在应对疫情的这段时期。他们继续以大公司为目标敲诈大笔资金。

RDP已被称为攻击者首选的一些最低悬垂的水果。但是,我们最近还学到了一个新SMB脆弱性允许远程执行。对于防御者来说,正确地绘制所有资产,修补它们,并且永远不要让它们公开暴露是很重要的。

如果我们发现新的相关信息,我们将更新这篇博文。

妥协指标(IOCs)

本田相关示例:

d4da69e424241c291c173c8b3756639c654432706e7def5025a649730868c4a1 mds.honda.com

埃奈尔相关的示例:

edef8b955468236c6323e9019abb10c324c27b4f5667bc3f85f3a097b2e5159a
enelint.global