Image default
Security

Variante do ransomware KillDisk chegou para o Linux

Pesquisadores descobriram uma variante para o Linux do ransomware KillDisk, somando-se à família do malware limpador de disco KillDisk, utilizado anteriormente apenas para sabotar empresas ao excluir e alterar aleatoriamente dados e arquivos.

Este ransomware do KillDisk que tem como alvo o sistema operacional GNU/Linux, foi descoberto pela empresa de segurança ESET (que desenvolve o antivírus de mesmo nome) uma semana após os pesquisadores da CyberX terem encontrado as primeiras versões do KillDisk, que incluiam recursos de ransomware, mas que tinham como alvo apenas PCs com o Windows.

A versão do Linux procura pela chave de criptografia

De acordo com pesquisadores da ESET, a forma como funciona esta variante do ransomware KillDisk é diferente tanto no Windows como no Linux, onde neste último, o maior “problema” é que o KillDisk não salva a chave de criptografia em qualquer lugar do disco ou online.

Normalmente, isso significaria que as vítimas nunca seriam capazes de recuperar seus arquivos, uma vez que a chave de criptografia seria perdida imediatamente após o processo de criptografia terminar.

A boa notícia é que os pesquisadores da ESET dizem ter descoberto uma falha nesta variante para o Linux que permite recuperar os arquivos criptografados. A mesma fraqueza não existe na versão para Windows.

Ransomware KillDisk, variante do Windows

Esta variante funciona criptografando cada arquivo por meio de uma chave AES-256 e cada chave AES é criptografada com uma chave pública RSA de 1028 bits.

Uma chave RSA privada armazenada no servidor dos invasores permitem que eles descriptografem os arquivos da vítima, mas somente após terem pago a bagatela de 222 bitcoins (215 mil dóláres, ou aproximadamente mais de 815 mil reais). Uma imagem da tela solicitando o resgate pode ser vista abaixo.

killdisk-ransom-windows
Fonte: https://www.bleepingcomputer.com

 

Ransomware KillDisk, variante do Linux

A variante do Linux detectada pelos pesquisadores da ESET recentemente é bastante diferente da variante para Windows.

Primeiramente, esta versão não se comunica mais com seu servidor de comando e controle via API do Telegram, e a criptografia também é diferente.

Segundo os pesquisadores, “os arquivos da vítima são criptografados utilizando o padrão Triple-DES aplicado a blocos de arquivos de 4096 bytes” e “cada arquivo é criprografado usando um conjunto diferente de chaves cripográficas de 64 bits”.

Este variante tem commo alvo os diretórios abaixo, atingindo cerca de 17 subdiretórios, criptografando todos os arquivos e anexando a terminação “DoN0t0uch7h! $ CrYpteDfilE”.

/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

O ransomware também irá reescrever o setor de inicialização do disco e utilizará ao gerenciador de inicialização GRUB para mostrar sua tela de resgate.

O aviso do resgate é idêntico ao mostrado na versão para Windows, incluindo o endereço de e-mail por onde as vítimas podem contatar os criminosos.

killdisk-linux
Fonte: https://www.bleepingcomputer.com

Antes de possuir as funções de ransomware, o KillDisk era usao exclusivamente em operações de cyber-espionagem/sabotagem.

Os ataques mais notórios do KillDisk envolveram a exclusão de arquivos do sistema, a substituição de arquivos e a alteração da extensão de arquivos.

Em novembro de 2015, o KillDisk foi usado em ataques contra uma agência ucraniana de mídia. Já em dezembro do mesmo ano, o KillDisk foi utilizado para sabotar a rede elétrica da Ucrânia. Um grupo de ciberespionagem conhecido como BlackEnergy é suspeito de estar por trás destes ataques.

Em dezembro de 2016, o grupo TeleBots utilizou o ransomware KillDisk para Windows com objetivo de atacar bancos ucranianos. No momento da escrita deste post, não há alguma evidência que possa ligar o grupo TeleBots com o BlackEnergy.

Funcionalidades de ransomware utilizadas como armadilha?

Em todos os ataques, o grupo BlackEnergy utilizou o KillDisk para destruir computadores e apagar a evidência de seus ataques, realizados com outras famílias de malware.

Os novos recursos de ransomware podem ser uma outra maneira de mascarar seus ataques, com as empresas achando que poderiam ter sido atacadas por um ransomware e não investigar pistas sobre outras invasões.

A enorme demanda de resgate do ransomware também toca neste cenário, pois seria absurdo pensar que uma empresa possa pagar tanto para recuperar seus arquivos.

O grupo TeleBots parece esperar que as empresas desistam de seus arquivos. Ao fazer isso, outros sinais e pistas de invasões permaneceriam perdidas e criptografadas para sempre.

A gangue TeleBots pode estar esperando que as empresas desistam em seus arquivos. Ao fazer isso, outros sinais e pistas de intrusões do grupo permaneceriam perdidos e criptografados para sempre.

Fontes:

https://www.bleepingcomputer.com/news/security/killdisk-ransomware-now-targets-linux-prevents-boot-up-has-faulty-encryption/

 

Posts similares

Ataque rouba senhas digitadas no teclado ao ler resíduos térmicos

O Analista

Malwares são assinados com certificado roubado de empresa de tecnologia

O Analista

Conheça o projeto MyPublicKey

O Analista