Una variante recientemente descubierta del malware KillDisk cifra los archivos y las mantiene para el rescate en lugar de eliminarlos
Desde KillDisk se ha utilizado los ataques dirigidos a sistemas de control industrial (ICS), los expertos están preocupados de que los agentes de amenaza pueden trayendo ransomware en el dominio industrial.
Las versiones anteriores de KillDisk eliminaban unidades de disco duro en un esfuerzo por hacer que los sistemas de funcionar, sino una nueva variante observada por la firma de seguridad informática industrial Cyberx cifra los archivos usando una combinación de algoritmos RSA y AES. En concreto, cada archivo se cifra con una clave individual AES y estas claves se cifran utilizando una clave RSA 1028 almacenada en el cuerpo del malware.
El vicepresidente de investigación de David Atch de Cyberx dijo que la variante KillDisk se ha analizado es una pieza bien escrita de ransomware. El código es similar a las muestras anteriores y su funcionalidad es casi el mismo.
El ransomware está diseñado para cifrar varios tipos de archivos, incluyendo documentos, bases de datos, código fuente, imágenes de disco, correos electrónicos y archivos multimedia. Ambas particiones locales y carpetas de red están dirigidos.
Las víctimas son instruidos a pagar 222 bitcoins ($ 210.000) para recuperar sus archivos, que los expertos creen que sugiere que los atacantes se dirigen a "organizaciones con mucho dinero." La dirección de correo electrónico de contacto proporcionada a los usuarios afectados que se asocia con Lelantos, un proveedor de correo electrónico centrado privacidad sólo se puede acceder a través de la red Tor. La dirección Bitcoin la cual las víctimas se les dice que enviar el rescate hasta ahora no se ha hecho ninguna transacción.
Atch señaló que la misma clave pública RSA se utiliza para todas las muestras, lo que significa que un usuario que recibe un descifrador probable que sea capaz de descifrar los archivos para todas las víctimas.
De acuerdo con Cyberx, el malware requiere privilegios elevados y se registra como un servicio. La amenaza termina varios procesos, pero evita los procesos críticos del sistema y los asociados con las aplicaciones anti-malware, probablemente para no perturbar el sistema y activar la detección por los productos de seguridad.
"Una cosa importante a notar sobre el malware, el autor/s están familiarizados con la API de criptografía, que están utilizando algunas de sus funciones para generar números verdaderamente aleatorios", explicó Atch." Pero decidieron no utilizar la función de CryptDecrypt, probablemente debido a que esta función puede ser fácilmente enganchado. Conexión de la función puede proporcionar un software anti-malware de una manera fácil de tratar con el cifrado de archivos no deseados, el enganche proporcionará una capacidad de restaurar las teclas ".
A principios de este mes, la firma de seguridad ESET publicó un informe detallando los ataques llevados a cabo por un grupo de TeleBots amenaza dobladas. Los investigadores creen TeleBots es una evolución del grupo vinculado a Rusia BlackEnergy (gusano de arena), que se dice que es responsable de varios ataques contra los sistemas de ICS / SCADA, incluyendo la operación de diciembre el año 2015 dirigida a sector energético de Ucrania.
Una de las herramientas utilizadas por el actor BlackEnergy es KillDisk, una pieza de malware diseñado originalmente para borrar archivos y hacer que los sistemas inoperable. En los ataques que causaron cortes de energía en Ucrania, KillDisk se utilizó para hacer que sea más difícil para las compañías eléctricas afectadas para restablecer el servicio.
En las recientes campañas de sabotaje cibernético lanzados contra objetivos de alto valor en el sector financiero de Ucrania, TeleBots utiliza diversas herramientas, incluyendo una nueva versión de KillDisk. Este malware, que se utiliza en la fase final del ataque, fue ejecutado con altos privilegios en los servidores y estaciones de trabajo después de que los atacantes probablemente obtienen credenciales de administrador en las etapas anteriores de la operación.
En estos ataques, KillDisk fue configurada para activarse en una fecha y hora predefinida. Además de eliminar archivos importantes del sistema, que se creó para sobrescribir archivos con ciertas extensiones en gran parte los mismos tipos que la variante ransomware encripta.
Cyberx cree que actores de amenazas volvieron KillDisk en una pieza de ransomware, ya que, a diferencia de sabotaje cibernético, la nueva funcionalidad que les permite obtener beneficios económicos directamente a sus ataques.
Los expertos señalaron que las organizaciones industriales pueden ser un objetivo ideal para ransomware por varias razones, incluyendo el hecho de que los ciber-interrupciones pueden dar lugar a riesgos para la seguridad y cortes de producción física, operaciones de red normalmente no se pueden cerrar fácilmente hacia abajo, los procesos de copia de seguridad de datos pueden no cubrir la totalidad los datos requeridos, y los empleados de las organizaciones industriales pueden ser menos conscientes de las amenazas informáticas.
