El ransomware sigue siendo una amenaza muy activa y en constante evolución. Una de las cepas más nuevas que emergen es Snake (también conocida como EKANS, que es simplemente "Snake" deletreada al revés).

Apareciendo por primera vez a fines de diciembre del año pasado, la característica más interesante de Snake es que apunta a entornos de sistemas de control industrial (ICS), no a las máquinas individuales, sino a toda la red.

La muestra de ransomware ofuscado, que se escribió en el lenguaje de programación Go, se observó por primera vez en repositorios de malware comerciales. Está diseñado para finalizar procesos específicos en las máquinas víctimas, incluidos varios elementos relacionados con las operaciones de ICS, así como eliminar Volume Shadow Copies para eliminar las copias de seguridad de Windows. 

Si bien actualmente no hay un descifrado disponible, los sistemas que ejecutan Acronis Active Protection , la defensa antimalware basada en IA que está integrada en nuestras soluciones de protección cibernética , detecta con éxito el ransomware Snake como un ataque de día cero y lo detiene en seco.

Proceso de infección y algunos detalles técnicos.

El punto de entrada para Snake es una configuración RDP insegura. Se distribuye a través de  spam  y archivos adjuntos maliciosos, pero también se puede enviar a través de botnets, paquetes de exploits, anuncios maliciosos, inyecciones web, actualizaciones falsas e instaladores reempaquetados e infectados.

Según nuestro análisis, cuando se ejecuta, Snake eliminará las Copias de volumen de la computadora y luego matará numerosos procesos relacionados con los sistemas SCADA, máquinas virtuales, sistemas de control industrial, herramientas de administración remota, software de administración de red, etc. Eliminar copias de seguridad de Windows es una tendencia de configuración y funcionalidad esperada en cualquier nuevo ransomware.

El ransomware comprueba la existencia de un valor Mutex "EKANS" en la víctima. Si está presente, el ransomware se detendrá con un mensaje "¡Ya está encriptado!". De lo contrario, se establece el valor Mutex y el cifrado avanza utilizando las funciones estándar de la biblioteca de cifrado. La funcionalidad principal en los sistemas víctimas se logra a través de llamadas de la Interfaz de administración de Windows (WMI), que comienza a ejecutar operaciones de cifrado.

Fuente y más información: Acronis