INC.

Пользователь
  • Публикаций

    94
  • Зарегистрирован

  • Посещение

Информация о INC.

  • Звание
    Журналист

Гарант

  • Сделок через гарант
    16
  1. Исследователи безопасности опровергли заявление компании AMD о том, что недавно описанная ими атака на ее чипы не представляет реальную угрозу. Ранее в этом месяце группа исследователей безопасности Берлинского технического университета представила способ обхода технологии SEV (Secure Encrypted Virtualization), использующейся во всех процессорах EPYC производства AMD и защищающей виртуальные машины от вредоносных ОС. В частности, исследователи продемонстрировали, как злоумышленник с физическим доступом к атакуемой системе может получить доступ к памяти виртуальной машины, защищенной с использованием SEV, с помощью манипуляций с напряжением на AMD Secure Processor. В ответ на публикацию исследования компания AMD заявила, что представленную атаку очень сложно осуществить на практике, поскольку для этого требуется физический доступ к серверу. Однако исследователи не согласны с заявлением AMD. Один из авторов работы Роберт Бюрен (Robert Buhren) связался с изданием TechRadar Pro и опроверг заявление компании. По его словам, у атакующего должен быть физический доступ к любому процессору EPYC, а не обязательно к процессору, выполняющему атакуемую виртуальную машину. «Вредоносный администратор может где-то купить ЦП и использовать извлеченные из него ключи на системах в дата-центре. На мой взгляд, это делает атаку еще опаснее, поскольку никакого физического взаимодействия с машинами в дата-центрах не требуется», - сообщил Бюрен. По словам исследователя, описанная его командой атака позволяет злоумышленникам использовать ключи, извлеченные из одного процессора AMD EPYC, для атаки на виртуальную машину, запущенную на другом ЦП AMD с той же микроархитектурой. Бюрен упомянул предыдущее исследование своей команды, в котором был опубликован PoC-код, позволяющий вредоносному администратору осуществлять атаки, подобные тем, что описаны в недавнем исследовании. PoC демонстрирует, как атакующий может использовать ключи из одного процессора AMD для извлечения памяти виртуальной машины, защищенной с помощью SEV. Как пояснил исследователь, недавно представленная его командой glitch-атака позволяет извлекать данные из всех трех поколений процессоров Zen, по сути, позволяя PoC-коду работать на всех процессорах AMD, поддерживающих SEV. Что еще хуже, отметил Бюрен, поскольку glitch-атака не является проблемой на уровне прошивки, она будет работать независимо от того, выпустит AMD обновление или нет.
  2. Компания Microsoft работает над исправлением проблемы, блокирующей загрузку и установку на устройства Azure Virtual Desktop последних обновлений безопасности через сервис обновления Windows Server Update Services (WSUS). «Мы изучаем проблему, связанную с тем, что устройства под управлением Windows 10 Enterprise multi-session, версия 1909, могут не загружать обновления, выпущенные после мая 2021 года. Это видно в приложении «Параметры» в настройках «Центра обновления Windows», где отображается уведомление "Все обновления установлены", даже если после мая 2021 года никаких обновлений не устанавливалось», - сообщила Microsoft. Проблема затрагивает как клиентскую (Windows 10 Enterprise multi-session, версия 1909), так и серверную (Windows Server multi-session, версия 1909) платформы. До тех пор, пока не выйдет исправление, Microsoft предложила два варианта временного решения проблемы, которые позволят пользователям установить последние обновления на Azure Virtual Desktop. Первый вариант заключается в развертывании на затронутых устройствах обновленных образов, включая все обновления безопасности Azure Marketplace. Второй вариант необходим в случае, когда повторное развертывание образов не представляется возможным, и предусматривает загрузку обновлений с сайта Microsoft Update Catalog и установку их вручную. «Вы можете загрузить обновления из Microsoft Update Catalog в виде файлов обновления Microsoft (.msu) и развернуть их с помощью вашего решения для управления. Эти загрузки представляют собой файлы Microsoft Update (.msu). Вы можете добавить эти файлы в свою систему управления конечными точками и развернуть на устройствах, работающих под управлением Windows 10 Enterprise или Education, версия 1909», - сообщила Microsoft.
  3. Сеть ресторанов быстрого питания McDonald's стала жертвой хакеров. В результате взлома произошла утечка "коммерческой инфoрмации" в США, а также данные о деловых контактах сотрудников и франчайзи из США. В целом число пострадавших было «небольшим», заявили в McDonald’s, не раскрыв при этом кoнкретное количествo. Также в компании заверили, что платежные сведения клиентов украдены не были. McDonald's уже начaл расследoвание инцидента и привлек к нему внешних консультантов. Компания планирует привлечь дополнительные ресурсы для того, чтобы обеспечить конфиденциaльность деловой информации. Сеть ресторaнов уже уведомила о произошедшем регулятoров в Южной Корее и на Тайване. Компания нaправит соответствующую информацию также клиентам и сотрудникам. В компании уточнили, чтo на работу ресторанов McDonald’s утечка не повлияла. С требoванием о выплате выкупа за украденные персональные данные хакеры к руководству компании не обращались.
  4. Программный инженер Гектор Мартин (Hector Martin) обнаружил первую уязвимость в чипах Apple M1, которую невозможно исправить без изменения самой микросхемы. К счастью, уязвимость ( CVE-2021-30747 ) представляет небольшую угрозу, и даже сам Мартин считает уязвимость несущественной и пытался избежать переоценки проблемы при обсуждении своего открытия. Как пояснил исследователь, уязвимость, получившая названия M1RACLES, позволяет двум приложениям, запущенным на одном устройстве, обмениваться данным по скрытому каналу на уровне центрального процессора без использования памяти, сокетов, файлов и пр. Хотя открытие имеет большое значение из-за уровня работы, знаний и опыта, необходимых для обнаружения ошибок в конструкции аппаратного обеспечения ЦП, по словам Мартина, уязвимость никоим образом не полезна для злоумышленников. Проблема не может быть проэксплуатирована вредоносным ПО для получения контроля над компьютером или похищения информации. Уязвимость нельзя проэксплуатировать через JavaScript-код на web-сайте или приложения на Java или через Flash, и ATP-группировки вряд ли заинтересуются ею. Единственное, кому может пригодиться M1RACLES, считает Мартин, - это нечистые на руку рекламные компании, которые могут использовать уже установленное на устройстве приложение для отслеживания других приложений. Хотя и это маловероятно, поскольку у рекламщиков есть гораздо более надежные способы сбора информации. Хотя M1RACLES нарушает модель безопасности ОС, позволяя процессам ЦП обмениваться данными по секретным каналам, уязвимость стала результатом человеческой ошибки, допущенной командой разработчиков Apple M1. «Кто-то из инженерной команды Apple сделал бо-бо. Что ж, бывает. Инженеры тоже люди», - отметил Мартин. Исследователь сообщил Apple о своей находке, но компания не сообщила, намерена ли она исправлять уязвимость.
  5. В Нидерландах один их трех операторов сайта WeLeakInfo, продающего доступ к взломанным базам данных, был приговорен к двум годам лишения свободы (второй год условно). В ходе судебных заседаний, состоявшихся в нынешнем году, 23-летний мужчина (имя его не раскрывается) признался в том, что управлял сайтом вместе с жителем Северной Ирландии и третьим неизвестным лицом. За $2 в день WeLeakInfo предоставлял доступ к 12 415 528 535 записям из 10 368 взломанных баз данных, и во многих из них содержались имена пользователей и пароли в незашифрованном виде. Хотя сайт маскировался под легитимный сервис Have I Been Pwned исследователя безопасности Троя Ханта (Troy Hunt), он активно рекламировался на хакерских форумах. Согласно рекламным сообщениям, сервис можно было использовать для поиска старых учетных данных и попыток взлома других online-профилей, где жертва могла повторно использовать пароли. По словам осужденного, он не принимал участие в создании сайта, но присоединился к двум его создателям в 2016 году, когда WeLeakInfo уже был запущен. Как пояснил мужчина, житель Северной Ирландии выполнял работу программиста, а второй подельник занимался отмыванием средств, полученных от клиентов сайта. В обязанности самого осужденного входила обработка данных из утекших БД с последующим их внесением на сайт WeLeakInfo и общение с клиентами. Большую часть данных операторы сайты получали по бартеру – согласно условиям пользования, доступ к данным на WeLeakInfo можно было также получить, предоставив операторам БД, которой у них еще нет. Сервис привлек внимание правоохранительных органов в июле 2019 года, когда Национальное агентство по борьбе с киберпреступностью Великобритании начало расследование. В ноябре 2019 года в расследование включились Нидерланды. В январе 2020 года правоохранительные органы США, Нидерландов и Великобритании изъяли серверы WeLeakInfo.
  6. Компания Apple выпустила исправления для четырех уязвимостей в iOS, macOS, iPadOS, tvOSи watchOS, которые уже могли эксплуатироваться в хакерских атаках. Все четыре уязвимости затрагивают движок для рендеринга web-страниц WebKit, являющийся ключевым компонентом браузера Safari. Хотя Safari доступен только для iOS и macOS, WebKit также используется в iPadOS, tvOS и watchOS для отображения web-контента в необрамленных окнах без пользовательского интерфейса, что избавляет от необходимости открывать отдельно целое приложение. Новые версии macOS Big Sur 11.3.1, iOS 12.5.3, iOS 14.5.1, iPadOS 14.5.1 и watchOS 7.4.1 содержат исправления для трех уязвимостей – CVE-2021-30663, CVE-2021-30665 и CVE-2021-30666. Версия iOS 12.5.3 также устраняет четвертую уязвимость (CVE-2021-30661), изначально закрытую в iOS, iPadOS, tvOS и watchOS на прошлой неделе. В соответствии со своей политикой безопасности Apple представила лишь скупые сведения об исправленных проблемах, и все четыре уязвимости имеют одно общее описание: «Обработка вредоносного web-контента может привести к выполнению произвольного кода. Apple известно о том, что они могли активно эксплуатироваться».
  7. Некоммерческая организация NOYB (none of your business), основанная правозащитником Максом Шремсом (Max Schrems), подала жалобу на Google за использование уникального идентификатора Android Advertising ID (AAID) для отслеживания пользователей. Напомним, в ноябре прошлого года та же организация подала жалобу на Apple за незаконную слежку за пользователями. Как утверждали правозащитники, уникальный номер IDFA (The Identifier for Advertisers), который Apple присваивает каждому устройству, позволяет техногиганту и всем приложениям на телефоне отслеживать пользователя и собирать информацию о его действиях в интернете и на мобильных устройствах. Как и в случае с cookie-файлами, в соответствии с законодательством ЕС для этого требуется согласие пользователей, однако Apple внедряет данные коды отслеживания без ведома владельцев устройств. В настоящее время группа предпринимает аналогичные действия против Google, подав жалобу в орган по защите данных во Франции. Как сообщается в документе, AAID «является простым идентификатором отслеживания в мобильном телефоне, а не идентификатором отслеживания в cookie-файле браузера», и поэтому как хранение AAID, так и доступ к нему являются незаконными без предварительного согласия пользователя. В жалобе также отмечается широкое использование AAID в различных функциях, включая идентификацию конкретного устройства или приложения, персонализацию рекламы и сопоставление клиентов с помощью IDFA и AAID. Правозащитники просят французские власти расследовать данный вопрос, оштрафовать техногиганта, а также требуют от Google привести обработку своих данных в соответствие с законодательством.
  8. Сотрудники правоохранительных органов задержали хакера, который в составе группы лиц устанавливал на компьютеры коммерческих организаций в Москве вредоносное программное обеспечение и получил от фирм незаконным путем десятки миллионов рублей. "Сотрудниками правоохранительных органов, а также специалистами в области компьютерной безопасности был установлен и задержан Полманис Ритварс Оскарович. Он является одним из фигурантов дела о неправомерном доступе к компьютерной безопасности и мошенничестве. Потерпевшими признаны столичные организации, которые пострадали в результате мошеннических действий группы лиц", - сказал собеседник агентства. Ритварс Полманис обвиняется в совершении преступлений, предусмотренных несколькими статьями УК РФ: ч. 2 ст. 273 ("Создание, использование и распространение вредоносных компьютерных программ"), ч. 3 ст. 272 ("Неправомерный доступ к компьютерной информации, причинивший крупный ущерб, совершенный организованной группой") и ч. 4. ст. 159 ("Мошенничество, совершенное организованной группой в особо крупном размере").
  9. NVIDIA заявила о разработке специального драйвера, замедляющего работу видеокарты GeForce RTX 3060 в два раза в случае обнаружения алгоритмов майнинга криптовалют, сообщается в блоге компании. Это сделает адаптеры GeForce менее привлекательными для добытчиков криптовалют. Не уточняется, затронут данные ограничения только GeForce RTX 3060 или все игровые видеокарты Ampere. Одновременно Nvidia анонсировала CMP — Cryptocurrency Mining Processor, который создан специально для добычи цифровых денег. Как отмечено в заявлении компании, ускорители для майнинга не просчитывают графику, не имеют видеовыходов и оптимизированы именно для добычи криптовалют. Устройство появится в продаже в первом квартале 2021 года, а его улучшенная версия выйдет во втором квартале. Релиз GeForce RTX 3060 назначен на 25 февраля 2021 года, 20:00 мск. Рекомендуемая цена GeForce RTX 3060 на 12 ГБ составит $329,99
  10. Руководство Центра спецназначения по обеспечению безопасности движения МВД три года собирало секретные данные маршрутов движения первых лиц России через чаты в WhatsApp. Об этом рассказали Би-би-си двое бывших и один действующий сотрудник Центра. Среди объектов госохраны, которых сопровождает спецбатальон, - президент, премьер, председатель Совфеда, руководство Совбеза, ФСБ, лидеры иностранных государств. Центр спецназначения по обеспечению безопасности движения (ЦСН БДД, далее Центр) входит в структуру МВД России. У Центра есть свой институт, батальон сопровождения, рота с инспекторами ДПС, отдел регистрации. Центр занимается профилактикой и контролем безопасности на дорогах на крупных международных мероприятиях - от чемпионата мира по футболу до Универсиады в Красноярске. Но важнейшая задача Центра - сопровождать кортежи первых лиц страны. Вместе с ФСО и ведомственными службами безопасности они расчищают маршруты и сопровождают кортежи так называемых ОГО - объектов госохраны - от президента до руководителя ФСБ, а также лидеров иностранных государств, посещающих Россию. В конце декабря телеграм-канал "ВЧК-ОГПУ" рассказал, что после занятия руководящей позиции в Центре полковник велел командирам всех восьми взводовспецбатальона собирать секретные данные о передвижениях первых лиц. Информацию об этом распоряжении Би-би-си подтвердили бывшие сотрудники Центра - старший инспектор майор Василий Ветитнев и один из отставных офицеров, служивших в спецбатальоне. Приказ о сборе данных подтвердил Би-би-си и действующий сотрудник центра, не уполномоченный давать официальные комментарии и попросивший об анонимности. Фабулу этой истории Ветитнев изложил в жалобе генпрокурору Игорю Краснову в ноябре. Би-би-си ознакомилась с копией его заявления. Из рассказа майора следует, что полковник требовал от каждого командира взвода создать совместный с подчиненными групповой чат в WhatsApp и передавать туда информацию из кодовой таблицы о своем местонахождении и передвижении объектов госохраны. Эти чаты с ежедневно обновляемыми данными о маршрутах первых лиц существуют уже три года. По словам сотрудников спецбатальона, в них числится более 200 человек. В таблицах в чатах есть позывные объектов госохраны, номера их машин, время проезда кортежа, пункты назначения и фамилии инспекторов в экипажах сопровождения. В жалобе генпрокурору Ветитнев так описал ситуацию: "Штаб-квартира компании WhatsApp находится в США, методы шифрования и безопасность при отправке сообщений неизвестны, также можно сделать скриншот и информация будет доступна третьим лицам, поэтому руководство ЦСН БДД МВД России (Ермаков В.Н. и Макаренков А.А.), отдавшее распоряжение о создании групп в WhatsApp для контроля нахождения сотрудников СБ, само нарушило режим секретности и Федеральный закон РФ <...> "О государственной тайне", подвергло и подвергает [риску] безопасность руководство Российской Федерации и объектов государственной охраны, и подлежит серьезному служебному разбирательству". Ветитнев и другой собеседник Би-би-си - действующий сотрудник спецбатальона - отмечают, что их вынуждали передавать данные о кортежах первых лиц в WhatsApp под давлением. В том числе под угрозой лишения ежегодных премий - более 100 тысяч рублей. "Я и многие сотрудники выражали недовольство этими требованиями, однако Макаренков наши жалобы игнорировал. И на тех сотрудников, которые проявляли недовольство, давили - и психологически, и по службе, много вариантов было вплоть до увольнения. С этой ситуацией столкнулся и я", - рассказал Ветитнев Би-би-си. Сейчас майор судится в Мосгорсуде с МВД - в конце сентября его временно отстранили от службы, а через два месяца, в декабре, - уволили. На сайте Мосгорсуда карточки дела нет - в связи с секретностью предмета спора.
  11. Во Владимирской области возбуждено уголовное дело в отношении местного хакера. Мужчина через интернет проник в охраняемую законом компьютерную информацию и удалил ее. По информации пресс-службы УФСБ по Владимирской области, ковровчанин 1982 года рождения залез в информационные ресурсы акционерного общества «Всероссийский научно-исследовательский институт "Сигнал" (входящий в состав холдинга "Высокоточные комплексы" госкорпорации "Ростех", содержащие охраняемую законом компьютерную информацию. — По версии следствия, в феврале 2020г. указанный гражданин, находясь по месту жительства в г.Коврове, посредством подключенной к информационно-телекоммуникационной сети «Интернет» личной ЭВМ, используя персональные логин и пароль сотрудников АО «Сигнал», осуществил неправомерный доступ к информационным ресурсам предприятия и произвел удаление (уничтожение) ограниченной в доступе и охраняемой законом информации, — сообщили в пресс-службе УФСБ. В отношении мужчины возбуждено уголовное дело по ч. 1 ст. 272 УК РФ (неправомерный доступ к компьютерной информации). В пресс-службе регионального УФСБ воздержались от комментариев о том, как ковровчанин получил доступ к паролям сотрудников института.
  12. Компания Google добавит в Gmail новую функцию безопасности, позволяющую подтверждать подлинность электронных писем от компаний и защищать пользователей от фишинга и спама. Вскоре рядом с письмами во входящих будут отображаться логотипы компаний. Работа функции будет обеспечиваться с помощью стандарта Brand Indicators for Message Identification (BIMI), к чьей рабочей группе Google присоединилась в прошлом году. Тестирование функции начнется в течение следующих недель при участии ограниченного числа пользователей. Как считают специалисты Google, аутентификация с помощью BIMI позволит получателю электронного письма быть уверенным в надежности отправителя. Наряду с BIMI для защиты от спама и фишинга также будет использоваться технология Domain-based Message Authentication, Reporting and Conformance (DMARC) – спецификация, основанная на идентификации почтовых доменов отправителя на основании правил и признаков, заданных на почтовом сервере получателя. Проще говоря, DMARC лишит злоумышленников возможности подделывать адрес отправителя в строке «От:». По своей сути BIMI напоминает галочки в социальных сетях, подтверждающие, что страницы действительно принадлежат той или иной знаменитости или бренду. Для проверки подлинности владельца логотипа Google будет использовать два удостоверяющих центра – Entrust Datacard и DigiCert. Ожидается, что массовое использование BIMI начнется уже в течение ближайших месяцев. Помимо тестирования BIMI, Google анонсировала и другие новые функции безопасности для G Suite. К примеру, Google Meet получит новые элементы управления для безопасных встреч. Незваные гости больше не смогут ни «постучать», ни присоединиться к встрече после того, как их исключат.
  13. В июне нынешнего года одна из крупнейших в истории DDoS-атак на полчаса отключила 15% мирового интернета. Об этом информагентству «УНІАН» сообщили сотрудники Национального координационного центра кибербезопасности при Совете национальной безопасности и обороны (СНБО) Украины. По словам заместителя секретаря СНБО Сергея Демедюка, в течение нескольких дней киберпреступники успешно атаковали десятки провайдеров по всему миру, включая Украину. Как показал анализ собранных специалистами данных, на первых этапах большинство инцидентов были лишь подготовкой к большой скоординированной атаке, направленной на блокирование доступа к сегментам интернета на глобальном уровне. «Поэтому мы сразу предупредили украинских провайдеров, соответствующих субъектов кибербезопасности и зарубежных партнеров об угрозе и дали рекомендации по реагированию на подобные атаки», - сообщил Демедюк. Прогноз экспертов Национального координационного центра кибербезопасности подтвердился в июне 2020 года, когда была зафиксирована DDoS-атака нового типа мощностью почти 780 Гбит/с. В результате инцидента на 30 минут было отключено 15% всего мирового интернета и ряда магистральных провайдеров. DDoS-атака была осуществлена с помощью скомпрометированных устройств «Интернета вещей» (IoT). Как пояснил Демедюк, особенность атаки заключается в том, что она была направлена непосредственно на инфраструктуру провайдеров. В настоящее время на территории Украины обнаружено порядка 10 тысяч устройств, которые могут использоваться для осуществления подобной DDoS-атаки. Такого количества вполне достаточно для того, чтобы с помощью кибератаки отключить интернет почти во всей стране.
  14. Взявшие на себя ответственность за инцидент киберпреступники могли подкупить сотрудника соцсети. Компания Twitter сообщила новые данные о беспрецедентной масштабной кибератаке на учетные записи знаменитостей. Напомним, в среду, 15 июля, киберпреступники, занимающиеся мошенничеством с криптовалютами, взломали учетные записи в Twitter ряда звезд и технологических компаний. В числе пострадавших оказались Илон Маск, Билл Гейтс, Канье Уэст, Джо Байден, Барак Обама и др. Также были взломаны учетные записи Apple и Uber и криптовалютных бирж CoinDesk, Binance, Ripple, Gemini. Злоумышленники опубликовали на взломанных страницах сообщения с призывом перевести криптовалюту на указанный биткойн-кошелек. Судя по одинаковым твитам, атаки на страницы «звезд» были координированными. Через некоторое время администрация Twitter обнаружила вредоносную активность и заблокировала возможность делать публикации владельцам проверенных учетных записей. «Вы не сможете публиковать твиты и сбрасывать пароли, пока мы изучаем инцидент и принимаем меры», - сообщила администрация соцсети. Хотя Twitter не уточняет, как именно были осуществлены кибератаки, издание Motherboard сообщает, что в киберпреступных кругах происходит обмен скриншотами с внутренними инструментами администрирования соцсети. Именно с их помощью злоумышленники могли взломать звездные аккаунты, сбросив учетные записи электронной почты, а затем восстановив пароли. Журналистам Motherboard даже удалось пообщаться с ответственными за взлом киберпреступниками. По их словам, они заплатили сотруднику Twitter, чтобы с помощью внутренних инструментов он поменял электронную почту, к которой были привязаны учетные записи знаменитостей. Так ли это было на самом деле, доподлинно неизвестно. Тем не менее, почти одновременные взломы множества учетных записей, защищенных двухфакторной аутентификацией, свидетельствуют о том, что злоумышленники не просто взломали аккаунты отдельных пользователей, но имели по крайней мере косвенный доступ к внутренним инструментам Twitter.
  15. Специалисты Бен Хантер (Ben Hunter) и Фред Гутьеррес (Fred Gutierrez) из FortiGuard Labs компании Fortinet провели анализ новых образцов вымогательского ПО EKANS (также известного как Snake). Как сообщили эксперты, операторы вымогателя используют различные методы для компрометации автоматизированных систем управления ключевых промышленных компаний. Исследователям удалось проанализировать два образца вредоноса, один из которых был создан в мае, а другой в июне нынешнего года. Оба образца написаны на языке программирования GO, широко используемом в сообществе разработчиков вредоносных программ, поскольку его относительно легко компилировать для работы на разных операционных системах. Эксперты обнаружили огромное количество ошибок кодирования в майской версии вымогателя, но, несмотря на это, вредоносное ПО все еще способно эффективно осуществлять атаки на АСУ ТП. Предположительно, EKANS был разработан для осуществление атак на определенные цели. Вредоносное ПО сначала пытается подтвердить свою цель, проверяя домен, принадлежащий компании-жертве, и сравнивая данную информацию со списками IP-адресов. Если жертва не соответствует списку целей, процедура завершается. Обе версии выполняют функции обычного вымогателя — оказавшись на уязвимом устройстве, вредоносная программа начинает шифровать файлы и создает уведомление о выкупе с требованием оплаты в обмен на доступ к данным. Тем не менее, июньская версия выходит за рамки этих возможностей и обладает высокоуровневыми функциями, способными нанести ущерб промышленным системам, включая возможность отключения межсетевых экранов. Данное изменение в функциональности EKANS было не единственным. Вымогатель также пытается отключить межсетевой экран перед шифрованием с целью обойти любые существующие средства защиты АСУ ТП. Как полагают специалисты, «таким образом вредонос пытается обнаружить антивирусные решения и другие средства защиты». EKANS использует алгоритм шифрования RSA (аббревиатура от фамилий его создателей Rivest, Shamir и Adleman) для блокировки уязвимых компьютеров и любых систем, которые могут стать препятствием для деятельности вредоноса, а также удаляет теневые копии для затруднения восстановление файлов.