# EKANS > Tipo: **malware** · S0605 · [MITRE ATT&CK](https://attack.mitre.org/software/S0605) ## Descrição [[s0605-ekans|EKANS]] (também conhecido como SNAKEHOSE - "EKANS" é "SNAKE" ao contrário) é uma variante de ransomware escrita em Golang que surgiu em meados de dezembro de 2019 e foi utilizada contra múltiplos setores, incluindo energia, saúde e fabricação automotiva. O EKANS representa uma evolução significativa no ransomware direcionado a ambientes industriais (OT/ICS), sendo projetado específicamente para encerrar processos de software de controle industrial antes de iniciar a criptografia. O EKANS utiliza uma lista codificada de mais de 60 processos para encerramento, incluindo processos associados a plataformas ICS comuns como GE Proficy, Honeywell HMIWeb, GE FANUC Licensing e sistemas SCADA da Siemens. Isso diferencia o EKANS de ransomwares genéricos: ao encerrar esses processos, o malware pode causar interrupções operacionais físicas em plantas industriais, refinarias e hospitais - além do impacto de TI convencional. Em 2020, o EKANS foi associado a ataques à Honda Motor Company e à gigante de petróleo EKANS, resultando em interrupções de produção. O malware verifica o nome do domínio do sistema antes de executar e não criptografa se o sistema não estiver em um domínio específico - indicando targeting seletivo. Escrito em Golang, o binário EKANS é autocontido e não depende de bibliotecas externas, facilitando a execução em múltiplos ambientes Windows sem dependências adicionais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] ## Detecção - Monitorar encerramento em massa de processos ICS/SCADA conhecidos (GE Proficy, Honeywell HMIWeb, OSIsoft PI) por processos não reconhecidos (T1489) - Detectar consultas WMI para enumeração de serviços e processos em sistemas OT/ICS - precede o encerramento direcionado (T1047) - Alertar sobre exclusão de Shadow Copies (T1490) em sistemas Windows que controlam infraestrutura industrial - Implementar listas brancas de aplicações (application whitelisting) em sistemas ICS - o EKANS não é um binário esperado em ambientes industriais - Monitorar verificação de nome de domínio por executáveis não reconhecidos - técnica de targeting seletivo usada pelo EKANS (T1016) ## Relevância LATAM/Brasil O Brasil possui uma das maiores infraestruturas industriais da América Latina, com refinarias da Petrobras, usinas hidrelétricas (Itaipu, Belo Monte), distribuidoras de energia elétrica e plantas manufatureiras automotivas - todos alvos potenciais de ransomware direcionado a OT/ICS como o EKANS. O setor de saúde brasileiro, com sua extensa rede de hospitais públicos e privados, também é vulnerável. A convergência crescente entre redes de TI corporativas e sistemas OT aumenta o risco de propagação de ransomware de TI para ambientes industriais no país. ## Referências - [MITRE ATT&CK - S0605](https://attack.mitre.org/software/S0605)