cs@s-mart.biz +39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
cs@s-mart.biz
+39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
SEQRITE
  • PRODOTTI
  • RISORSE
  • SUPPORTO
  • PARTNER
  • NEWS
  • CHI SIAMO
  • CONTATTI
  • PRODOTTI

    PROTEZIONE ENDPOINT E DATI

    »Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
    • Seqrite mSuite

    SICUREZZA GATEWAY

    »Unified Threat Management (UTM)

    PROTEZIONE SERVER

    »Seqrite Antivirus per Server
  • RISORSE
    News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
    Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
    Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
    Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
    Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
    White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
  • SUPPORTO
    FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
    APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
    Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
    Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
  • PARTNER
    PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
    DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
    LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
    REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
  • NEWS
  • CHI SIAMO
    PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
    LEADERSHIP Management team di Seqrite
    PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore
  • CONTATTI

PROTEZIONE ENDPOINT E DATI

»Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
  • Seqrite mSuite

SICUREZZA GATEWAY

»Unified Threat Management (UTM)

PROTEZIONE SERVER

»Seqrite Antivirus per Server
News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
LEADERSHIP Management team di Seqrite
PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore

14 luglio 2020
Ransomware Snake / Ekans: da Enel a Honda, il ransomware che attacca le big corporation


Il nuovo ransomware Snake / Ekans, che porta attacchi mirati contro le reti aziendali, è stato individuato nei primi giorni di Gennaio. Questo malware è scritto in linguaggio GO, presenta un altissimo livello di offuscamento del codice ed è pensato per attaccare i sistemi ICS (Industrial Control Systems). Viene diffuso solo in campagne mirate che si concentrano sulla penetrazione in precise reti aziendali. Cripta i file usando gli algoritmi di criptazione AES e RSA. Al termine della criptazione, aggiunge al nome di ogni singolo file la stringa .EKANS. 

Il malware include, nel proprio codice, una verifica del nome del sistema e degli indirizzi IP pubblici: in questo caso, i Quick Heal Security Labs hanno analizzato la versione pensata per attaccare la rete aziendale di Honda. Se una query ad un dominio interno appartenente a Honda non viene risolta, il malware si auto termina immediatamente. Sono verifiche che servono agli attaccanti per essere certi del fatto di trovarsi entro la rete giusta. La versione che ha colpito Enel in Italia non differisce di funzionamento, ma porta con sè il nome rete e gli indirizzi IP collegati appunto ad Enel. 

Analisi tecnica
L'eseguibile è un file PE32 per Windows, dotato di una sezione .symtab che contiene alcune "prove" relative al fatto che il ransomware sia compilato e scritto in linguaggio Go. Vi sono varie stringhe infatti che confermano che quel binario è scritto in GO: sotto un esempio


Il malware, per prima cosa, invia una richiesta di risoluzione DNS a “MDS.HONDA.COM”


Il malware risolve MDS.HONDA.COM all'indirizzo IP associato, ma contiene anche riferimenti all'indirizzo IP americano 170.108.71.15, che si risolve con l'host name "unspec170108.amerhonda.com". Se la risoluzione DNS fallisce, il malware interrompe la sua esecuzione. 

Quando il malware invece verifica che il nome dominio viene risolto, procede alla modifica delle impostazioni del firewall inviando un comando a netsh.exe (che è un tool di networking). Questo comando blocca tutte le connessioni in entrata e in uscita per tutti i profili che non corrispondono alle regole usate dalla funzione firewall di Windows.


Per quanto riguarda la criptazione, in prima battuta il malware decripta tutte le stringhe che saranno usate per l'esecuzione del malware: tuttavia ogni dato criptato utilizza una chiave XOR differente. Anche la chiave pubblica RSA verrà decriptata per poi essere usata per criptare ogni chiave AES usata per criptare i file.

Ancora una verifica: il ransomware verifica l'eventuale presenza del Mutex chiamato EKANS. Se questo è presente, il ransomware bloccherà la propria esecuzione e non attaccherà il sistema. Altrimenti creerà il mutex e l'infezione proseguirà. 

Nel codice EKANS contiene anche una lista di processi e servizi che saranno ricercati e, se trovati in esecuzione, terminati. Sotto alcuni dei processi in lista:


EKANS rimuove quindi tutti i backup del Volume Shadow Copy, così da impedire il ripristino del sistema. A questo punto inizia la criptazione. Il processo di criptazione è un misto tra il modello simmetrico e asimmetrico: per criptare e decriptare i file servirà una chiave simmetrica, che a sua volta è criptata con la chiave pubblica dell'attaccante. La decriptazione dei file diventa possibile quindi solo avendo a disposizione la chiave privata dell'attaccante: una complicazione non da poco per quei vendor che volessero provare a produrre un tool di decriptazione. 

Non verranno criptati i file con le seguenti estensioni:
.sys  .mui   .tmp   .lnk   .config   .tlb   .olb   .blf   .ico   .manifest   .bat   .cmd   .ps1  etc

Terminata la criptazione dei file, il malware rinomina ogni file criptato aggiungendo una stringa di 5 caratteri random all'estensione del file. L'immagine sottostante mostra come sono rinominati i file dopo la criptazione 

Conclusioni
I ransomware non sono più un pericolo soltanto per gli utenti home, ma anche e sempre più per le aziende. Una volta subita la criptazione dei file è molto complesso riportare in chiaro i dati. Data l'estensione dei danni che un ransoware può comportare per i dati aziendali, i nostri esperti di cyber sicurezza forniscono i seguenti consigli: 
  • è utile la protezione di un antivirus multi livello che possa bloccare gli attacchi in tempo reale;
  • è consigliabile non connettere mai i sistemi remoti direttamente ad Internet;
  • mantenere i software aggiornati: questi attacchi spesso usano exploit di vulnerabilità note;
  • eseguire backup regolari dei dati e conservarli in location sicure "lontane" dalla rete;
  • eseguire un audit del gateway e verificare eventuali configurazioni errate;
  • formare il personale perchè sia pronto a reagire. 

Ultime news

Per saperne di più

Expiro: un vecchio malware risorge e lancia una nuova sfida

22 marzo 2023

Alcuni utenti hanno recentemente subito una nuova infezione. Velocemente abbiamo verificato come questo attacco fosse dovuto a Exp...

Per saperne di più

La criptazione end-to-end rende difficile per le forze dell'ordine reprimere il crimine. Parola del CTO di Quick Heal

15 marzo 2023

traduzione dell'articolo di NABEEL AHMED su "The Hindu.com" - End-to-end encryption makes it difficult for law enforcement agencie...

Per saperne di più

Cyber Security Alert: Quick Heal mira ad espandere il suo ramo aziendale Seqrite

08 marzo 2023

traduzione dell'articolo Cyber Security Alert: Quick Heal Aims To Expand Its Enterprise Arm di Entrepreneur IndiaCon l'e...

Supporto

Vedi le FAQ
Supporto Utenti
Partner Program
Diventa Partner
Community Seqrite

Risorse

News
White Papers
Report sulle minacce
Manuali
Case Studies

Chi siamo

Panoramica
Perché Seqrite
Leadership
Premi e Certificazioni
Contatti





P.IVA: 05345670482   
© S-MART è un marchio di proprietà netWork Sas