Laut einer aktuellen Analyse der Kaspersky-Experten für industrielle Cybersicherheit (Kaspersky ICS CERT) sind Unternehmen aus der Automobil- und Fertigungsindustrie derzeit von zielgerichteten Attacken der Snake-Verschlüsselungssoftware betroffen. [...]
Am 8. Juni wurde bekannt, dass der japanische Motorrad- und Automobilhersteller Honda an seinen Standorten in Europa und Japan von einer Snake-Infektion betroffen war. Neben Honda ist wohl auch das Energieunternehmen Enel Group zum Opfer einer zielgerichteten Snake-Attacke geworden. Den Analysen der Kaspersky-Experten zu Folge zählen zu den Angriffszielen zudem auch ein deutsches Unternehmen, das seine Produkte an Auto- und andere Industriehersteller liefert, sowie ein deutscher Hersteller von medizinischen Geräten und Verbrauchsmaterialien.
Snake-Angriffe wurden des Weiteren auf Computern in China, Japan und Europa entdeckt. Die Kaspersky-Experten gehen davon aus, dass die Attacken über die IT-Systeme der Opferunternehmen hinausgegangen sein könnten. So wurde in einem Fall die Malware auf dem Videoüberwachungsserver einer in China angegriffenen Organisation erkannt und blockiert.
Die Kaspersky ICS CERT-Experten weisen darauf hin, dass ein wichtiges Unterscheidungsmerkmal von Snake zu sonstiger Malware darin besteht, dass es unter anderem auf industrielle Automatisierungssysteme abzielt – insbesondere darauf, dass es zur Verschlüsselung von Dateien dient, die von General Electric ICS verwendet werden. Dies zeigt sich daran, dass die Malware versucht, die Prozesse der General-Electric-Software zu beenden, bevor der Dateiverschlüsselungsprozess gestartet wird.
Weitere technische Details zum Vorgehen von Snake
Die Kaspersky-Experten glichen ein auf VirusTotal hochgeladenes Snake-Sample mit den eigenen telemetrischen Daten ab, um ähnliche Malware-Samples zu finden. Die Ergebnisse zeigen, dass die Angreifer mehrstufige Angriffe ausführen, wobei jeder auf eine bestimmte Organisation abzielt. Das Verschlüsseln von Dateien mit Snake ist die letzte Phase dieser Angriffe.
Alle Snake-Samples wurden anscheinend zusammengestellt, nachdem die Angreifer Kenntnis von den relevanten Domain-Namen und der zugehörigen IP-Adresse im internen Netzwerk des anvisierten Unternehmens erlangt hatten. Auch wurden in den analysierten Samples die IP-Adresse und der Domänenname als Strings gespeichert. Dies bedeutet, dass die ausführbare Datei nach dem Kompilieren nicht einfach geändert (gepatcht) werden kann, da die Länge dieser Strings variiert.
Die Überprüfung, ob der Domain-Name mit der IP-Adresse übereinstimmt, soll verhindern, dass die Malware außerhalb des lokalen Netzwerks für das, das Sample erstellt wurde, ausgeführt wird. Es ist sehr wahrscheinlich, dass die Angreifer Domain-Richtlinien verwendeten, um so die Ransomware im lokalen Netzwerk zu verbreiten. Dafür mussten die Cyberkriminellen schon in einer früheren Phase des Angriffs einen Zugriff auf den Account des Administrators hergestellt haben.
Kaspersky erkennt und blockiert die Schadprogramme unter dem Namen Trojan-Ransom.Win32.Snake.a. Alle technischen Details sowie Handlungsempfehlungen und Kompromittierungsindikatoren sind unter https://ics-cert.kaspersky.com/alerts/2020/06/17/targeted-attacks-on-industrial-companies-using-snake-ransomware/ zu finden.
Be the first to comment