汽车制造商本田遭受勒索软件攻击

作者：嘶吼RoarTalk 2020-06-18

英国广播公司（BBC）宣布的一份报告称，，，，，，，汽车制造商本田遭受了网络攻击，，，，，，，随后该公司在Twitter上证实了这一新闻。。。另一个同样在Twitter上披露的类似攻击事务是袭击了Edesur SA，，，，，，，这是阿根廷Enel旗下的一家公司，，，，，，，该公司在布宜诺斯艾利斯市从事能源分派营业。。。

凭证网上宣布的样本，，，，，，，这些事务可能与EKANS / SNAKE勒索软件家族有关。。。在这篇文章中，，，，，，，我们回首了有关这种勒索软件的相关信息以及到现在为止我们能够举行的剖析。。。

勒索软件的目的

清静研究职员Vitali Kremez首次果真提及EKANS勒索软件的时间可以追溯到2020年1月，，，，，，，那时Vitali Kremez 分享了有关使用GOLANG编写的新型勒索软件的信息。。。

清静公司Dragos 在此博客中做出详细先容。。。

图1：EKANS赎金纪录

6月8日，，，，，，，一位研究职员分享了勒索软件的样本，，，，，，，这些样本听说是针对本田和Enel的。。。在我们最先审查代码时，，，，，，，我们有了一些发明，，，，，，，证实了这种可能性。。。

图2：互斥检查

图3：认真执行DNS盘问的功效

目的：本田

● 赎金电子邮件：CarrolBidell @ tutanota [。。。] com

目的：Enel

● 剖析内部域：enelint.global

● 赎金电子邮件：CarrolBidell @ tutanota [。。。] com

远程桌面协议（RDP）可能是攻击的前言

两家公司都有一些带有远程桌面协议（RDP）会见权限的盘算机果真（请参阅此处）。。。RDP攻击是勒索软件操作的主要切入点之一。。。

不过，，，，，，，这些仅仅是推测，，，，，，，不可完全肯定这就是威胁行为者攻击的方法。。。只有举行适当的内部视察，，，，，，，才华确切简直定攻击者是怎样破损网络的。。。

检测

我们通过建设一个伪造的内部效劳器来测试在实验室中果真提供的勒索软件样本，，，，，，，该效劳器将响应恶意软件代码使用预期的IP地点举行的DNS盘问。。。然后，，，，，，，我们对Malwarebytes Nebula（我们面向企业的基于云的端点保�；；；；；ぃ┚傩辛司莩朴氡咎锵喙氐难静馐浴！�。

图4：Malwarebytes Nebula仪表板显示检测效果

实验执行时，，，，，，，我们检测有用负载为“ Ransom.Ekans”。。。为了测试鉴黑担保网另一个保�；；；；；げ�，，，，，，，我们还禁用了（不建议）恶意软件保�；；；；；�，，，，，，，以使行为引擎施展作用。。。鉴黑担保网反勒索软件手艺能够在不使用任何署名的情形下隔离恶意文件。。。

勒索软件团伙丝毫没有怜悯之心，，，，，，，纵然在这个应对新冠疫情的特殊时期，，，，，，，他们扔继续以大型公司为目的，，，，，，，从而勒索巨额资金。。。

现在，，，，，，，远程桌面协议（RDP）已被人们称为是攻击者最喜欢的突破点。。。可是，，，，，，，我们最近还相识到一个允许远程执行的新的SMB误差。。。关于防御者而言，，，，，，，主要的是要准确保�；；；；；に凶什�，，，，，，，对其误差实时修补，，，，，，，杜绝其果真袒露。。。

若是我们发明新的相关信息，，，，，，，我们将更新此博客文章。。。（一连报道请参照原文）

IOCs

本田相关样品：

Enel相关的样本：

enelint.global

参考及泉源：https://blog.malwarebytes.com/threat-analysis/2020/06/honda-and-enel-impacted-by-cyber-attack-suspected-to-be-ransomware/

（转载来自：腾讯网）

快速链接

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

工业互联网清静专题