澳门浦京娱乐场

English日本語

工业互联网安全专题 > 安全资讯

汽车制造商本田遭受勒索App攻击

编辑:嘶吼RoarTalk 2020-06-18

1.png

英国广播企业(BBC)发布的一份报告称,汽车制造商本田遭受了网络攻击,随后该企业在Twitter上证实了这一消息。另一个同样在Twitter上披露的类似攻击事件是袭击了Edesur SA,这是阿根廷Enel旗下的一家企业,该企业在布宜诺斯艾利斯市从事能源分配业务。

根据网上公布的样本,这些事件可能与EKANS / SNAKE勒索App家族有关。在这篇文章中,大家回顾了有关这种勒索App的相关信息以及到目前为止大家能够进行的分析。

勒索App的目标

安全研究人员Vitali Kremez首次公开提及EKANS勒索App的时间可以追溯到2020年1月,那时Vitali Kremez 分享了有关使用GOLANG编写的新型勒索App的信息。

安全企业Dragos 在此博客中做出详细先容。

2.png

图1:EKANS赎金记录

6月8日,一位研究人员分享了勒索App的样本,这些样本据说是针对本田和Enel的。在大家开始查看代码时,大家有了一些发现,证实了这种可能性。

3.png

图2:互斥检查

4.png

图3:负责实行DNS查询的功能

目标:本田

● 赎金电子邮件:CarrolBidell @ tutanota [。] com

目标:Enel

● 解析内部域:enelint.global

● 赎金电子邮件:CarrolBidell @ tutanota [。] com

远程桌面协议(RDP)可能是攻击的媒介

两家企业都有一些带有远程桌面协议(RDP)访问权限的计算机公开(请参阅此处)。RDP攻击是勒索App操作的主要切入点之一。

不过,这些仅仅是推测,不能完全肯定这就是威胁行为者攻击的方式。只有进行适当的内部调查,才能确切的确定攻击者是如何破坏网络的。

检测

大家通过创建一个伪造的内部服务器来测试在实验室中公开提供的勒索App样本,该服务器将响应恶意App代码使用预期的IP地址进行的DNS查询。然后,大家对Malwarebytes Nebula(大家面向企业的基于云的端点保护)进行了据称与本田相关的样本测试。

5.png

图4:Malwarebytes Nebula仪表板显示检测结果

尝试实行时,大家检测有效负载为“ Ransom.Ekans”。为了测试大家的另一个保护层,大家还禁用了(不建议)恶意App保护,以使行为引擎发挥作用。大家的反勒索App技术能够在不使用任何签名的情况下隔离恶意文件。

勒索App团伙丝毫没有怜悯之心,即使在这个应对新冠疫情的特殊时期,他们扔继续以大型企业为目标,从而勒索巨额资金。

目前,远程桌面协议(RDP)已被人们称为是攻击者最喜欢的突破点。但是,大家最近还了解到一个允许远程实行的新的SMB漏洞。对于防御者而言,重要的是要正确保护所有资产,对其漏洞及时修补,杜绝其公开暴露。

如果大家发现新的相关信息,大家将更新此博客文章。(持续报道请参照原文)

IOCs

本田相关样品:

Enel相关的样本:

enelint.global

参考及来源:https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/


(转载来自:Tencent网)

上一篇 下一篇

服务热线

400-624-3900

客服电话:400-624-3900

周一至周五 9:00-17:30

XML 地图 | Sitemap 地图