Erpressungstrojaner Ekans legt "nebenbei" Industriesteuerungssysteme lahm

Betreiber von Industriesteuerungssystemen (ICS) sollten die Sicherheit ihrer Anlagen besonders gut prüfen. Sicherheitsforscher von Dragos sind auf den Verschlüsselungstrojaner Ekans gestoßen, der nicht nur Dateien gefangen nimmt und Lösegeld erpresst, sondern auch ICS-Anlagen im schlimmsten Fall lahmlegen kann.

In einem ausführlichen Bericht über den Schädling finden sich keine Hinweise auf eine derzeitig groß angelegte Ekans-Kampagne. Die Sicherheitsforscher haben den Trojaner eigenen Angaben zufolge im Dezember 2019 das erste Mal erblickt. Im Kern verhält sich die Ransomware wie gewohnt und verschlüsselt Dateien. Den Schlüssel wollen die Erpresser erst nach der Zahlung eines Lösegelds rausrücken.

Erpressung auf einem neuen Niveau

Bei einer näheren Untersuchung stießen die Sicherheitsforscher aber auf eine Kill-Liste mit 64 Methoden, um bestimmte ICS-Prozesse lahmzulegen. Das mutet den Forschern zufolge derzeit noch rudimentär an, wird in Zukunft aber mit hoher Wahrscheinlichkeit noch ausgebaut, spekulieren sie. Beispielsweise die ähnlich arbeitende Ransomware Megacortex soll rund 1000 derartiger Module mitbringen.

Ist eine Attacke erfolgreich, könnten Angreifer durchaus die Kontrolle über bestimmte Teile von Industriesteuerungssystemen übernehmen. Die Freigabe von Steueranlagen könnten sie als weiteres Druckmittel für die Zahlung eines Lösegelds einsetzen.

Offensichtlich derzeit noch kein Fall bekannt

Würde Ekans in kritische Infrastrukturen eindringen, könnte auch die Bevölkerung gefährdet sein. In ihrem Bericht skizzieren die Sicherheitsforscher aber keinen konkreten Fall. Im Beitrag zur Ransomware finden Betreiber von ICS-Anlagen weitere Fakten zum Schädling und wie man sich gegen ihn rüsten kann. Neben dem obligatorischen Backup müssen Admins in diesem Spezialfall darauf achten, Steuerungssysteme effektiv abzuschotten. (des)