Вымогатель Snake (он же EKANS) был впервые обнаружен ИБ-специалистами в январе 2020 года, и за прошедшие месяцы превратился в весьма распространенную угрозу для промышленных систем управления (ICS), так как малварь ориентирована на процессы, специфичные для этих сред. К примеру, в прошлом месяце сообщалось, что от атаки этого шифровальщика пострадала компания Honda.
Одной из особенностей Snake является ликвидация процессов из заранее подготовленного списка, включая процессы, связанные с ICS. Также известно, что малварь обычно похищает данные компаний, перед тем как приступить к шифрованию файлов, а затем операторы вымогателя требуют выкуп за эту информацию.
Теперь эксперты компании Deep Instinct рассказали еще об одной интересной особенности шифровальщика. Оказалось, что малварь старательно изолирует зараженные машины, чтобы никто не помешало процессу шифрования файлов. Для этого разработчики Snake «научили» свою малварь включать и отключать брандмауэр и использовать специальные команды для блокировки нежелательных подключений к системе.
«Перед началом шифрования Snake использует брандмауэр Windows, чтобы блокировать любые входящие и исходящие сетевые подключения к компьютеру жертвы, которые не числятся в настройках брандмауэра. Для этой цели используется встроенный в Windows инструмент netsh», — пишут специалисты.
Также малварь ищет процессы, которые могут помешать процессу шифрования, и ликвидирует их. Это касается процессов промышленных приложений, защитных инструментов и решений для резервного копирования. Snake также удаляет теневые копии, чтобы максимально затруднить восстановление данных.
Эксперты компании Fortinet, которые недавно тоже представили собственный отчет о Snake, отмечают, что завершив шифрование, малварь обычно отключает брандмауэр. Кроме того, исследователи Fortinet обратили внимание, что вымогатель предпочитает атаковать контроллеры домена, которые прицельно ищет в сети после изначального заражения. Для этих целей Snake использует WMI-запросы и определяет роли различных машин в сети.
Fortinet предупреждает, что если компрометация контроллера домена удалась, Snake получает возможность влиять на запросы аутентификации в сетевом домене, что может серьезно сказаться на пользователях.