工业互联网安全专题 > 安全资讯

汽车制造商本田遭受勒索软件攻击

作者:嘶吼RoarTalk 2020-06-18

1.png

英国广播公司(BBC)发布的一份报告称,汽车制造商本田遭受了网络攻击,随后该公司在Twitter上证实了这一消息。另一个同样在Twitter上披露的类似攻击事件是袭击了Edesur SA,这是阿根廷Enel旗下的一家公司,该公司在布宜诺斯艾利斯市从事能源分配业务。

根据网上公布的样本,这些事件可能与EKANS / SNAKE勒索软件家族有关。在这篇文章中,我们回顾了有关这种勒索软件的相关信息以及到目前为止我们能够进行的分析。

勒索软件的目标

安全研究人员Vitali Kremez首次公开提及EKANS勒索软件的时间可以追溯到2020年1月,那时Vitali Kremez 分享了有关使用GOLANG编写的新型勒索软件的信息。

安全公司Dragos 在此博客中做出详细介绍。

2.png

图1:EKANS赎金记录

6月8日,一位研究人员分享了勒索软件的样本,这些样本据说是针对本田和Enel的。在我们开始查看代码时,我们有了一些发现,证实了这种可能性。

3.png

图2:互斥检查

4.png

图3:负责执行DNS查询的功能

目标:本田

● 赎金电子邮件:CarrolBidell @ tutanota [。] com

目标:Enel

● 解析内部域:enelint.global

● 赎金电子邮件:CarrolBidell @ tutanota [。] com

远程桌面协议(RDP)可能是攻击的媒介

两家公司都有一些带有远程桌面协议(RDP)访问权限的计算机公开(请参阅此处)。RDP攻击是勒索软件操作的主要切入点之一。

不过,这些仅仅是推测,不能完全肯定这就是威胁行为者攻击的方式。只有进行适当的内部调查,才能确切的确定攻击者是如何破坏网络的。

检测

我们通过创建一个伪造的内部服务器来测试在实验室中公开提供的勒索软件样本,该服务器将响应恶意软件代码使用预期的IP地址进行的DNS查询。然后,我们对Malwarebytes Nebula(我们面向企业的基于云的端点保护)进行了据称与本田相关的样本测试。

5.png

图4:Malwarebytes Nebula仪表板显示检测结果

尝试执行时,我们检测有效负载为“ Ransom.Ekans”。为了测试我们的另一个保护层,我们还禁用了(不建议)恶意软件保护,以使行为引擎发挥作用。我们的反勒索软件技术能够在不使用任何签名的情况下隔离恶意文件。

勒索软件团伙丝毫没有怜悯之心,即使在这个应对新冠疫情的特殊时期,他们扔继续以大型公司为目标,从而勒索巨额资金。

目前,远程桌面协议(RDP)已被人们称为是攻击者最喜欢的突破点。但是,我们最近还了解到一个允许远程执行的新的SMB漏洞。对于防御者而言,重要的是要正确保护所有资产,对其漏洞及时修补,杜绝其公开暴露。

如果我们发现新的相关信息,我们将更新此博客文章。(持续报道请参照原文)

IOCs

本田相关样品:

Enel相关的样本:

enelint.global

参考及来源:https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/


(转载来自:腾讯网)

上一篇 下一篇

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30