汽车制造商本田遭受勒索软件攻击

作者：嘶吼RoarTalk 2020-06-18

英国广播公司（BBC）宣布的一份陈诉称，汽车制造商本田遭受了网络攻击，随后该公司在Twitter上证实了这一消息。另一个同样在Twitter上披露的类似攻击事件是袭击了Edesur SA，这是阿根廷Enel旗下的一家公司，该公司在布宜诺斯艾利斯市从事能源分配业务。

凭据网上宣布的样本，这些事件可能与EKANS / SNAKE勒索软件家族有关。在这篇文章中，我们回顾了有关这种勒索软件的相关信息以及到目前为止我们能够进行的分析。

勒索软件的目标

宁静研究人员Vitali Kremez首次果然提及EKANS勒索软件的时间可以追溯到2020年1月，那时Vitali Kremez 分享了有关使用GOLANG编写的新型勒索软件的信息。

宁静公司Dragos 在此博客中做出详细介绍。

图1：EKANS赎金记录

6月8日，一位研究人员分享了勒索软件的样本，这些样本据说是针对本田和Enel的。在我们开始检察代码时，我们有了一些发现，证实了这种可能性。

图2：互斥检查

图3：卖力执行DNS查询的功效

目标：本田

● 赎金电子邮件：CarrolBidell @ tutanota [。] com

目标：Enel

● 解析内部域：enelint.global

● 赎金电子邮件：CarrolBidell @ tutanota [。] com

远程桌面协议（RDP）可能是攻击的媒介

两家公司都有一些带有远程桌面协议（RDP）访问权限的计算机果然（请参阅此处）。RDP攻击是勒索软件操作的主要切入点之一。

不外，这些仅仅是推测，不能完全肯定这就是威胁行为者攻击的方式。只有进行适当的内部视察，才气确切简直定攻击者是如何破坏网络的。

检测

我们通过创建一个伪造的内部服务器来测试在实验室中果然提供的勒索软件样本，该服务器将响应恶意软件代码使用预期的IP地址进行的DNS查询。然后，我们对Malwarebytes Nebula（我们面向企业的基于云的端点�；ぃ┙辛司莩朴氡咎锵喙氐难静馐�。

图4：Malwarebytes Nebula仪表板显示检测结果

实验执行时，我们检测有效负载为“ Ransom.Ekans”。为了测试我们的另一个�；げ�，我们还禁用了（不建议）恶意软件�；�，以使行为引擎发挥作用。我们的反勒索软件技术能够在不使用任何签名的情况下隔离恶意文件。

勒索软件团伙丝毫没有恻隐之心，即使在这个应对新冠疫情的特殊时期，他们扔继续以大型公司为目标，从而勒索巨额资金。

目前，远程桌面协议（RDP）已被人们称为是攻击者最喜欢的突破点。但是，我们最近还了解到一个允许远程执行的新的SMB漏洞。对于防御者而言，重要的是要正确�；に凶什�，对其漏洞及时修补，杜绝其果然袒露。

如果我们发现新的相关信息，我们将更新此博客文章。（连续报道请参照原文）

IOCs

本田相关样品：

Enel相关的样本：

enelint.global

参考及来源：https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/

（转载来自：腾讯网）

快速链接

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

工业互联网宁静专题