Целевые атаки на промышленные компании с использованием вымогателя Snake

Kaspersky ICS CERT сообщает о целевых атаках на промышленные с использованием программы-вымогателя шифрования Snake.

В начале июня Honda испытывала технические трудности, предположительно из-за заражения серверов компании вымогателем Snake. Исследователи безопасности Kaspersky обнаружили образец данного вредоносного программного обеспечения (ВПО) на VirusTotal и использовали свои данные телеметрии для идентификации других образцов.

Основные выводы исследования:

• Вредоносная программа была запущена с использованием файла «nmon.bat».
• Разница между идентифицированными образцами Snake в доменном имени и IP-адресе, встроенном в код.
• IP-адрес, встроенный в код ВПО, в случае разрешения, сравнивается с IP-адресом из доменного имени.
• Snake шифрует данные, если IP-адрес в коде программы совпадает с IP, разрешенным из доменного имени.
• IP-адрес и доменное имя встроены в код ВПО и являются уникальными для конкретной атаки.
• Некоторые доменные имена хранятся на внутренних DNS-серверах, следовательно атаки являются целевыми.

Результаты исследования Kaspersky показывают, что это – многоэтапная хакерская атака, направленная на конкретную организацию. То есть шифрование с помощью Snake – это заключительный этап спланированной атаки.