Обнаруженный в январе 2020 года вирус-вымогатель Snake, также известный как EKANS, за последние месяцы стал причиной большого количества инцидентов в промышленных системах управления. Например, месяц назад жертвой вируса-шифровальщика Snake стала компания Honda.

Эксперты подчеркивают, что в ходе реализации атаки вирус-вымогатель Snake перед тем, как приступить непосредственно к шифрованию файлов, похищает данные компании, а также принудительно завершает на атакуемой системе процессы по заранее подготовленному списку, в том числе имеющие отношение к промышленным системам управления. После проведения атаки операторы малвари требуют от жертвы выкуп, шантажируя жертву обнародованием украденной информации.

Эксперты компании Deep Instinct отмечают еще одну особенность вируса: малварь старательно изолирует зараженные машины, чтобы максимально затруднить выявление и прерывание процессов шифрования файлов. Для этого вирус-вымогатель изменяет параметры брандмауэра для блокировки возможности подключения к атакуемой системе (брандмауэр отключается только после завершения процесса шифрования файлов).

Кроме этого малварь ищет процессы, которые могут препятствовать процессу шифрования, и ликвидирует их. Это касается, в том числе процессов промышленных приложений, защитных инструментов и решений для резервного копирования. Шифровальщик Snake также удаляет теневые копии, чтобы максимально затруднить восстановление данных.

Эксперты Fortinet обращают внимание, что вымогатель предпочитает атаковать контроллеры домена, сканирование которых Snake специально проводит после начального проникновения в сеть жертвы. В случае успешной компрометация контроллера домена, вирус-вымогатель Snake получает возможность влиять на запросы аутентификации в сетевом домене, что может серьезно сказаться на пользователях и на возможностях распространения вируса-шифровальщика внутри сети жертвы.