EKANS - ein erst kürzlich entdeckter Trojaner - ist speziell auf industrielle Steuerungssysteme und deren Software und Hardware, die in allen Bereichen von Ölraffinerien über Stromnetze bis hin zu Produktionsanlagen eingesetzt werden, ausgerichtet. Ähnlich wie andere Ransomware verschlüsselt EKANS Daten und zeigt den Opfern eine Notiz an, in der die Zahlung für die Freigabe der Daten verlangt wird.

Jedoch kann EKANS weitaus mehr: Es ist darauf ausgelegt, 64 verschiedene Softwareprozesse auf den Opfercomputern zu beenden. Darunter befinden sich viele, die spezifisch für industrielle Steuerungssysteme verwendet werden. Dadurch kann es dann die Daten verschlüsseln, mit denen diese Steuerungssystemprogramme interagieren.

Im Vergleich zu anderer Malware, die speziell für industrielle Sabotagezwecke entwickelt wurde, ist dies ein grober Schlag gegen die Software, die zur Überwachung kritischer Infrastrukturen (KRITIS) eingesetzt wird, wie etwa die Pipelines einer Ölfirma. Das kann gefährliche Folgen haben. Ist beispielsweise die Fernüberwachung nicht mehr möglich, könnten im Falle einer Störung Maschinen dauerhaft beschädigt werden.

Vom MalwareHunterTeam entdeckt und vom Forscher Vitali Kremez im Januar in Bleeping Computer beschrieben, wird EKANS "zahlreiche Prozesse im Zusammenhang mit SCADA-Systemen, virtuellen Maschinen, industriellen Steuerungssystemen, Fernverwaltungstools, Netzwerkmanagementsoftware und mehr beenden". Es könnte sich bei EKANS um den Nachfolger von der als MegaCortex bezeichneten Ransomware handeln, welche dieselben prozessabtötenden Eigenschaften industrieller Steuerungssysteme besitzt.

Da MegaCortex aber auch Hunderte von anderen Prozessen beendet hat, wurden seine auf industrielle Steuerungssysteme ausgerichteten Funktionen weitgehend übersehen. EKANS wie auch MegaCortex treffen die technischen Eingeweide industrieller Steuerungssysteme. Bisher sind keine konkreten EKANS-Opfer bekannt, dennoch würde ein Angriff auf eine kritische Infrastruktur eine Gefahr für Umwelt und Bevölkerung darstellen.

Sollte es sich bei EKANS nicht um das Werk von staatlich geförderten Hackern handeln, dann würde es weiter an Bedeutung gewinnen. Zusammen mit MegaCortex wäre es der erste Angriff auf ein industrielles Kontrollsystem, der von nichtstaatlichen Cyberkriminellen durchgeführt wird.

Schließlich war die ICS-Malware in der Vergangenheit auf hoch entwickelte Geheimdienste beschränkt, wie die NSA und israelische Geheimdiensthacker, um das 2007 begonnene iranische Nuklearanreicherungsprogramm zu sabotieren, oder die russischen Sandwurm-Hacker, die ein automatisiertes Tool namens Industroyer oder Crash Override nutzten, um 2016 den Strom in Kiew abzuschalten.

Weitere Beiträge....