新的勒索软件EKANS将会针对工业控制系统

（文章来源：E安全）
       据外媒报道，一个名为EKAN的勒索软件（也称为Snake）于2019年12月首次出现，并且正在针对工业控制系统（ICS）发动勒索软件攻击。据悉，自EKANS（又名Snake）首次出现以来，来自各个安全机构的研究人员一直在对其进行分析，发现EKANS除其他事项外，能够停止与工业控制系统（ICS）操作相关的许多流程应用程序。

对此，来自德拉戈斯的研究人员表示，尽管目前所有迹象都显示出对控制系统网络的攻击机制相对比较原始，但静态“杀伤力清单”中列出的过程中的特殊性表明，此前针对工业领域的勒索软件没有这种故意性。

由来自MalwareHunterTeam，SentinelOne和Dragos的研究人员分析表示，EKANS勒索软件具有针对Windows系统的通用勒索软件相关的许多相同特征，例如在目标系统上进行交付时，该勒索软件首先检查自身是否已经存在于系统中，如果没有，则会强行停止较长的进程列表，然后再开始执行相关的加密操作，并删除受害计算机上的相关备份内容。

Ragos研究人员指出，虽然该款勒索软件某些引用过程似乎与安全管理软件Qihoo 360 Safeguard和Microsoft System Center相似，但列出的大多数过程都与数据库信息，数据备份解决方案和ICS生产流程相关。

同时，专家表示，目前EKANS还无法操纵与ICS生产相关的过程，因此其破坏性仅限于使管理员无法了解控制系统和网络上正在发生的事情。它对实际工业环境的影响将取决于其特定的设置，配置，过程链接等。根据Dragos研究人员的说法，该恶意软件无法自行进行传播，只能依靠攻击者以交互方式或通过脚本启动它。因此，目前它与大多数勒索软件相比破坏性较小，因为黑客在整个攻击过程中都保持对加密系统用户的访问，该勒索软件不会重新引导，关闭或关闭远程访问通道。

目前，虽然Otorio的研究人员认为该恶意软件是由伊朗赞助的，但据德拉戈斯的对手猎人Joe Slowik称，这一说法缺少有说服力的证据。同时，在另一方面，似乎EKANS与MegaCortex勒索软件的第二版本相似，后者还具有一个显示进程的“ kill list”列表，其中还包括EKANS停止攻击的进程。

基于这些信息，EKANS作为勒索软件针对ICS的相关攻击似乎不是唯一的，或者说它至少不是第一。因为Dragos研究人员指出，目前MegaCortex勒索软件也被用于针对攻击美国，加拿大和欧洲部分地区的大型公司网络和工作站。