Il nuovo ransomware Snake / Ekans, che porta attacchi mirati contro le reti aziendali, è stato individuato nei primi giorni di Gennaio. Questo malware è scritto in linguaggio GO, presenta un altissimo livello di offuscamento del codice ed è pensato per attaccare i sistemi ICS (Industrial Control Systems). Viene diffuso solo in campagne mirate che si concentrano sulla penetrazione in precise reti aziendali. Cripta i file usando gli algoritmi di criptazione AES e RSA. Al termine della criptazione, aggiunge al nome di ogni singolo file la stringa .EKANS. 

Il malware include, nel proprio codice, una verifica del nome del sistema e degli indirizzi IP pubblici: in questo caso, i Quick Heal Security Labs hanno analizzato la versione pensata per attaccare la rete aziendale di Honda. Se una query ad un dominio interno appartenente a Honda non viene risolta, il malware si auto termina immediatamente. Sono verifiche che servono agli attaccanti per essere certi del fatto di trovarsi entro la rete giusta. La versione che ha colpito Enel in Italia non differisce di funzionamento, ma porta con sè il nome rete e gli indirizzi IP collegati appunto ad Enel. 

L'eseguibile è un file PE32 per Windows, dotato di una sezione .symtab che contiene alcune "prove" relative al fatto che il ransomware sia compilato e scritto in linguaggio Go. Vi sono varie stringhe infatti che confermano che quel binario è scritto in GO: sotto un esempio

Il malware, per prima cosa, invia una richiesta di risoluzione DNS a “MDS.HONDA.COM”

Il malware risolve MDS.HONDA.COM all'indirizzo IP associato, ma contiene anche riferimenti all'indirizzo IP americano 170.108.71.15, che si risolve con l'host name "unspec170108.amerhonda.com". Se la risoluzione DNS fallisce, il malware interrompe la sua esecuzione. 

Quando il malware invece verifica che il nome dominio viene risolto, procede alla modifica delle impostazioni del firewall inviando un comando a netsh.exe (che è un tool di networking). Questo comando blocca tutte le connessioni in entrata e in uscita per tutti i profili che non corrispondono alle regole usate dalla funzione firewall di Windows.

EKANS rimuove quindi tutti i backup del Volume Shadow Copy, così da impedire il ripristino del sistema. A questo punto inizia la criptazione. Il processo di criptazione è un misto tra il modello simmetrico e asimmetrico: per criptare e decriptare i file servirà una chiave simmetrica, che a sua volta è criptata con la chiave pubblica dell'attaccante. La decriptazione dei file diventa possibile quindi solo avendo a disposizione la chiave privata dell'attaccante: una complicazione non da poco per quei vendor che volessero provare a produrre un tool di decriptazione. 

Non verranno criptati i file con le seguenti estensioni:

Terminata la criptazione dei file, il malware rinomina ogni file criptato aggiungendo una stringa di 5 caratteri random all'estensione del file. L'immagine sottostante mostra come sono rinominati i file dopo la criptazione