Widget HTML Atas

PT. RONAR INDONESIA

Snake Double Strikes

Snake Ransomware Menghadirkan Double-Strike pada Honda dan Energy Co.


Malware yang berfokus pada ICS / SCADA kemungkinan berada di belakang dua serangan minggu ini, pada Honda dan perusahaan energi Amerika Selatan, kata para peneliti.

Snake ransomware dilaporkan telah menghantam dua perusahaan terkenal minggu ini: Honda dan perusahaan distribusi energi Amerika Selatan bernama Enel Argentina.

Dalam sebuah tweet pada hari Senin, Layanan Pelanggan Honda Automobile mengatakan "mereka mengalami kesulitan teknis dan tidak tersedia." Dan kemudian, raksasa mobil Jepang itu mengatakan kepada BBC bahwa "Honda dapat mengkonfirmasi bahwa serangan cyber telah terjadi di jaringan Honda."

Sementara itu, seorang juru bicara Honda mengatakan kepada Forbes, “Honda telah mengalami serangan cyber yang telah mempengaruhi operasi produksi di beberapa pabrik AS. Namun, saat ini tidak ada bukti hilangnya informasi yang dapat diidentifikasi secara pribadi. Kami telah melanjutkan produksi di sebagian besar pabrik dan saat ini sedang berupaya untuk kembali ke produksi pabrik mobil dan mesin kami di Ohio. "

Para peneliti telah menganalisis sampel dari serangan yang dibagikan secara online pada hari Senin, dan telah menentukan bahwa kemungkinan ransomware Snake bertanggung jawab atas serangan tersebut. Snake pertama kali dipublikasikan pada Januari setelah ditemukan dan dianalisis oleh MalwareHunterTeam dan reverse-engineer Vitali Kremez. Para peneliti di Dragos juga melihat ke dalam malware, yang ditulis dalam bahasa Go, sangat dikaburkan, mengikuti lingkungan ICS / SCADA, dan cenderung sangat ditargetkan.

Sampel Honda sesuai dengan profil ini. "Kami menemukan beberapa artefak yang menguatkan kemungkinan ini," tulis para peneliti di Malwarebytes dalam analisisnya.

Para peneliti menjelaskan, “Kami menguji sampel ransomware yang tersedia untuk umum di lab kami, dengan membuat server internal palsu yang akan menanggapi permintaan DNS yang dibuat oleh kode malware dengan alamat IP yang sama seperti yang diharapkan. Kami kemudian menjalankan sampel yang diduga terkait dengan Honda terhadap Malwarebytes Nebula, perlindungan titik akhir berbasis cloud kami untuk bisnis. Kami mendeteksi muatan ini sebagai ‘Tebusan.Ekans’ saat berupaya mengeksekusi. " EKANS adalah nama lain untuk Snake di telemetri perusahaan keamanan - itu hanya "ular" mundur.

Chris Clements, wakil presiden arsitektur solusi di Cerberus Sentinel, juga melihat sampel publik yang berkaitan dengan serangan Honda. Dia mengatakan bahwa malware tersebut mencakup pemeriksaan untuk nama sistem internal hardcoded dan alamat IP publik yang terkait dengan Honda. Dan, itu segera keluar jika asosiasi dengan Honda tidak terdeteksi.

"Ini sangat menyiratkan bahwa ini adalah serangan yang ditargetkan daripada kasus penjahat cyber menyemprot ransomware tanpa pandang bulu," katanya melalui email - ciri khas Snake.

Clements juga memperingatkan bahwa walaupun Honda mencatat bahwa tidak ada PII yang tampaknya telah diakses (tidak seperti dalam insiden pelanggaran data baru-baru ini), tim ransomware Snake secara historis berusaha untuk mengeksfiltrasi informasi sensitif sebelum mengenkripsi komputer korban mereka.

"Ini, dikombinasikan dengan sifat pra-pemeriksaan malware yang ditargetkan menunjukkan bahwa penyerang kemungkinan memiliki akses ke sistem internal Honda selama beberapa waktu sebelum meluncurkan fungsi enkripsi ransomware," katanya kepada Threatpost. "Tanpa konfirmasi dari kelompok SNAKE atau Honda, tidak mungkin untuk mengatakan berapa lama penyerang hadir atau data sensitif apa yang mungkin bisa mereka curi."

Caleb Barlow, presiden dan CEO Cynergistek, juga percaya serangan itu berasal dari ransomware Snake, dan mencatat bahwa malware tersebut memprihatinkan dalam hal cakupannya.

"Itu terjadi setelah seluruh jaringan, bukan mesin individual dan PC," katanya melalui email. “Itu termasuk internet-of-things dan perangkat SCADA. Jadi pikirkan tentang lingkungan manufaktur yang memiliki ribuan perangkat, semuanya turun dan perlu dipulihkan .... [jadi], tujuannya jauh melampaui penguncian data, ini adalah bentuk malware yang dirancang untuk penghancuran sistem yang terinfeksi. ”

Terlepas dari apakah kode sebenarnya memang ransomware Snake, bukti menunjukkan bahwa malware yang sama bertanggung jawab atas serangan lain, menurut Malwarebytes, di Enel Argentina. Anak perusahaannya Edesur S.A tweeted awal pekan ini bahwa “Sistem kami dipengaruhi oleh kegagalan komputer, yang menghambat layanan pelanggan melalui telepon, jaringan sosial dan penggunaan Kantor Virtual. Kami sedang mengerjakan resolusi insiden dalam waktu sesingkat mungkin untuk memulihkan komunikasi. "

https://threatpost .com/snake-ransomware-honda-energy/156462/

PT. RONAR INDONESIA