KillDisk ransomware ahora tiene como objetivo Linux, Impide el arranque, con encriptación defectuoso
Los investigadores han descubierto una variante de Linux del ransomware KillDisk, que en sí pertenece a la familia de malware limpiador de disco KillDisk, que sólo se utiliza para sabotear las empresas mediante la supresión de los datos al azar y la modificación de los archivos.
El ransomware KillDisk que se dirige a los equipos Linux fue descubierto por ESET una semana después de que los investigadores de Cyberx se encontraron con él primero KillDisk que incluían características ransomware, pero que sólo se concentraron en PC con Windows.
La versión para Linux tantea la clave de cifrado
De acuerdo con los investigadores de ESET, la forma en que la versión KillDisk ransomware trabajo en Windows y Linux es completamente diferente, con el mayor problema es que en Linux, KillDisk no guarda la clave de cifrado en cualquier lugar en el disco o en línea.
Normalmente, esto significaría que las víctimas nunca sería capaz de recuperar archivos ya que la clave de cifrado se perdería inmediatamente después de que termine el proceso de cifrado.
La buena noticia es que los investigadores de ESET dicen que han descubierto un defecto en la variante de Linux que les permite recuperar los archivos cifrados. La misma debilidad no existe en la versión que se dirige a los PC con Windows.
KillDisk ransomware, diferencias con Windows
La variante ransomware KillDisk que se dirige a las máquinas Windows trabajan mediante el cifrado de cada archivo a través de una clave AES-256, y luego cifrar las claves AES con una clave pública RSA-1028.
Una clave privada RSA almacenada en el servidor de la curva permitió atacantes descifrar los archivos de la víctima, pero sólo después de que las víctimas pagaran un rescate de 222 Bitcoin ($ 215.000).
Los ladrones reciben las claves de cifrado en sus servidores a través del protocolo de telegram, que se utiliza para la aplicación de chat de mensajería instantánea del mismo nombre. Debido a esto, Cyberx ha llamado a los operadores de esta campaña ransomware como el grupo TeleBots.
KillDisk ransomware, variante de Linux
En primer lugar, la versión de Linux no habla con su servidor de C & C a través de la API de telegramas más. La encriptación es también diferente.
Según los investigadores, de la víctima "archivos son encriptados usando Triple DES aplica a bloques de archivo de 4096 bytes," y "cada archivo se cifra usando un conjunto diferente de las claves de cifrado de 64 bits."
La variante de Linux se dirige a las siguientes carpetas, a una profundidad de 17 subcarpetas, el cifrado de todos los archivos y añadiendo la terminación "! DoN0t0uch7h $ CrYpteDfilE":/boot, /bin, /sbin, /lib/security, /lib64/security, /usr/local/etc, /etc, /mnt, /share, /media, /home, /usr, /tmp, /opt, /var, /root
El ransomware KillDisk Linux también volverá a escribir el sector de arranque del usuario y utilizará el gestor de arranque GRUB para mostrar su pantalla de rescate.
La nota de rescate es palabra por palabra idéntica a la que aparece en la versión de Windows, incluyendo la dirección de correo electrónico donde las víctimas pueden llegar a los ladrones.
Antes de seguir la ruta de ransomware, KillDisk había sido utilizado únicamente en operaciones de espionaje cibernético y de sabotaje cibernético.
Los ataques más destacados de KillDisk realizan borrar archivos del sistema, reemplazando los archivos de datos, y volver a escribir las extensiones de archivo.
En noviembre de 2015, KillDisk fue utilizado en ataques contra una agencia de medios de comunicación de Ucrania. En diciembre de 2015, KillDisk se utilizó para sabotear la red eléctrica de Ucrania. Un grupo de espionaje cibernético conocido como BlackEnergy es sospechoso de estar detrás de los ataques.
En diciembre de 2016, el grupo TeleBots utiliza el ransomware KillDisk Windows para atacar a los bancos de Ucrania.
Ransomware funciones usadas como señuelo
En todos los ataques de BlackEnergy había utilizado para destruir KillDisk ordenadores y borrar la evidencia de sus ataques, perpetrados con otras familias de malware.
Las características ransomware recién añadidos pueden ser otra forma de enmascarar sus ataques, con las empresas a pensar que podrían haber sido golpeado por ransomware, y no investigar las intrusiones de otras pistas.
La enorme demanda de rescate del ransomware también juega en este escenario, ya que es absurdo pensar que una empresa puede pagar tanto para recuperar sus archivos.
