Ransomware KillDisk zagraża bezpieczeństwu użytkownikom Linuksa

9 stycznia, 2017
ransom_killdisk

Badacze malware z firmy ESET odkryli odmianę krypto-ransomware KillDisk, który został użyty przez grupę hackerów BlackEnergy w atakach na infrastrukturę krytyczną Ukrainy pod koniec 2015 roku pozbawiając tysięcy obywateli dostępu do energii elektrycznej. KillDisk, w obecnej postaci, uszkadza desktopy napędzane różnymi dystrybucjami Linuksa – przy okazji szyfruje pliki „w jedną stronę” i żąda aż 222 BTC, czyli około 250000 dolarów za dostęp do danych. Rozprzestrzenia się przy pomocy złośliwych plików-backdoorów, po uruchomieniu których napastnicy przy pomocy Meterpretera i komunikacji z C&C uzyskują zdalny dostęp do zainfekowanych komputerów – to zupełnie inaczej niż pierwsze warianty ransomware KillDisk, które zostały wykorzystane do ataków na systemy ICS i SCADA, gdzie ransomware KillDisk komunikował się poprzez API komunikatora Telegram.

222 BTC okupu

Chyba sami przestępcy nie wierzą, że ktokolwiek zapłaci tak absurdalnie wysoką cenę. Co więcej, autorzy złośliwego oprogramowania celowo wpuszczają ofiarę w maliny, sugerując, że po zaszyfrowaniu danych wskazany jest bezpośredni kontakt na podany adres e-mail w celu uzyskania instrukcji wpłacenia okupu. Na nic to się zda – z przeprowadzonej analizy przez badaczy bezpieczeństwa z firmy ESET wynika, że ransomware KillDisk nie komunikuje się z żadnym C&C i nie przechowuje szyfrującego klucza na dysku twardym. Operacja enkrypcji przebiega w jedną stronę – symetryczny algorytm 3DES wykonuje 3 rundy szyfrowania pierwszych 4096 bitów każdego pliku kluczem sekretnym o długości 64 bitów, podczas gdy wersja KilkDisk dla Windows stosuje dwukrotne szyfrowanie algorytmem CryptGenRandom 256-bitowym oraz symetrycznym AES-1024 nadpisując każdy plik.

Użytkownicy systemów Linux również powinni zadbać o kopię zapasową swoich danych. Wirus KillDisk szyfruje następujące katalogi (systemowe oraz użytkownika):

/boot, /bin, /sbin, /lib/security, /lib64/security, /usr/local/etc, /etc, /mnt, /share, /media, /home, /usr, /tmp, /opt, /var, /root

Następnie nadpisuje program rozruchowy GRUB. Po restarcie, zamiast listy wyboru systemu operacyjnego lub innych zaawansowanych opcji startowych, zostanie wyświetlony poniższy komunikat:

fig 2
W obu przypadkach (Windows i Linux) ransomware żąda aż 222 BTC.

Najważniejszą kwestią w tym incydencie jest fakt, że ransomware ani nie przechowuje żadnego klucza lokalnie, ani też nie wysyła go do serwerów przestępców. Zapłacenie okupu za odzyskanie danych jest czystym zmarnowaniem pieniędzy. Ale jest też dobra informacja: badacze znaleźli sposób na odzyskanie danych dla wariantu napisanego dla Linux, jednak szczegółów nie podali…

Moreover, ESET researchers have noted a weakness in the encryption employed in the Linux version of ransomware, which makes recovery possible, albeit difficult. (Note that this does not apply to the Windows version.)

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
2 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]