A equipa de investigação da ESET descobriu uma variante Linux do malware KillDisk, conhecido pela sua utilização em ataques contra infraestruturas críticas da Ucrânia no final de 2015 e contra diversos alvos do setor financeiro em dezembro de 2016.

Esta nova variante faz com que as máquinas Linux deixem de arrancar, logo após os ficheiros terem sido encriptados e de ter surgido o pedido de um avultado resgate. No entanto e mesmo que as vítimas estejam dispostas a pagar, a probabilidade dos atacantes desencriptarem os ficheiros, é muito baixa.

KillDisk – do apagar ao encriptar

O KillDisk é um malware destrutivo que ganhou notoriedade como parte integrante de uma vaga de ataques bem sucedidos e que foram realizados pelo grupo BlackEnergy contra a rede elétrica ucraniana em dezembro de 2015 e também contra uma das principais agências de notícias do país em novembro de 2015. Mais recentemente, detetámos diversos ataques informáticos que utilizaram o KillDisk contra empresas do setor financeiro na Ucrânia.

As campanhas de ataque KillDisk estiveram também ativas ao longo de todo o mês de dezembro, apontando baterias a vários alvos do setor dos transportes marítimos ucranianos. Importa salientar que o conjunto de ferramentas de ataque evoluiu, sendo que agora os atacantes utilizam as backdoors Meterpreter e comunicação C&C , ao invés da API do Telegram.

Enquanto as variantes do KillDisk de 6 de dezembro eram bastante artísticas e exibiam um ecrã que se referia à popular série Mr. Robot, as variantes mais recentes adicionam um caraterística muito sinistra – um ransomware que encripta os ficheiros. A mensagem de resgate começa com um provocativo “Temos muita pena …” e exige que a vítima pague um resgate bastante alto em troca dos ficheiros encriptados – 222 Bitcoin, ou seja, mais de 185 000 Euros.

Estas variantes recentes do ransomware KillDisk não só afetam sistemas Windows, bem como máquinas Linux, o que certamente é algo que não vemos todos os dias. Nesta lista incluem-se não apenas estações de trabalho Linux, mas também servidores, o que amplifica em larga escala o potencial de dano.

As variantes do Windows, detetadas pela ESET como Win32 / KillDisk.NBK e Win32 / KillDisk.NBL, encriptam ficheiros com AES (chave de encriptação de 256 bits), sendo que própria chave AES simétrica é posteriormente encriptada utilizando RSA de 1024 bits. Para não encriptar os ficheiros duas vezes, o malware adiciona o seguinte marcador no final de cada ficheiro encriptado: DoN0t0uch7h! $ CrYpteDfilE.

Nas Variantes Windows e Linux, a mensagem de pedido de resgate é exatamente a mesma, incluindo a quantia– 185 mil Euros. Também igual é o endereço das bitcoin e o email de contacto.

Linux/KillDisk.A Análise Técnica

Apesar dos detalhes de resgate para ambas as plataformas serem idênticos, a implementação técnica é, obviamente, diferente. A mensagem de resgate é exibida de forma pouco comum – dentro do GRUB bootloader. Quando o malware é executado, as entradas do bootloader são substituídas para exibir o texto de resgate.

A rotina de encriptação principal percorre recursivamente as seguintes pastas dentro do diretório raiz e até 17 subdiretórios em profundidade:

/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

Os ficheiros são encriptados utilizando a técnica Triple-DES aplicada aos blocos de 4096-bytes dos ficheiros. Cada ficheiro é encriptado utilizando um conjunto diferente de chaves de encriptação de 64-bit.

Após o arranque, o sistema afetado não irá conseguir arrancar.

É importante ter em conta que pagar o resgate exigido para a recuperação de ficheiros encriptados é um desperdício de tempo e dinheiro. As chaves de encriptação geradas no host afetado não são guardadas localmente nem enviadas para um servidor C&C.

Queremos enfatizar que – os cibercriminosos responsáveis por esta variante do KillDisk não conseguem fornecer às vítimas as chaves necessárias para a desencriptação.

Entretanto a equipa de investigação da ESET descobriu uma fraqueza no método de encriptação utilizado pela versão Linux deste ransomware, que torna a recuperação dos ficheiros possível, embora difícil.

Conclusão

Ao monitorizarmos os ataques informáticos BlackEnergy e TeleBots, observámos uma evolução interessante nos simples mas destrutivos componentes KillDisk. Ao longo dos anos detetámos campanhas de ataque contra muito alvos nos mais diversos segmentos, incluindo instituições estatais e infraestruturas críticas, muitas delas sem qualquer relação entre si. O grupo (ou grupos) de atacantes por detrás destas operações revelaram interesse em várias plataformas – quer fossem PCs Windows a controlarem sistemas SCADA /ICS, ou estações de trabalho de uma agência noticiosa. Com esta última expansão, os atacantes podem utilizar o KillDisk para destruírem ficheiros em sistema Linux.

A mais recente adição da funcionalidade de ransomware parece pouco comum, uma vez que os ataques anteriores tinham funções de espionagem ou sabotagem. Considerando o resgate muito elevado – cerca de 185 000 Euros – para além do facto dos atacantes não terem implementado uma forma eficiente de desencriptar os ficheiros, dá origem a muitas dúvidas.

Seja qual for a verdadeira explicação, o nosso conselho é o mesmo – se for vítima de ransomware, não pague, uma vez que não existem garantias que irá conseguir recuperar os seus ficheiros.

Indicadores de Infeção

SHA1 file hashes

Win32/KillDisk.NBK trojan and Win32/KillDisk.NBL trojan:

2379A29B4C137AFB7C0FD80A58020F5E09716437
25074A17F5544B6F70BA3E66AB9B08ADF2702D41
95FC35948E0CE9171DFB0E972ADD2B5D03DC6938
B2E566C3CE8DA3C6D9B4DC2811D5D08729DC2900
84A2959B0AB36E1F4E3ABD61F378DC554684C9FC
92FE49F6A758492363215A58D62DF701AFB63F66
26633A02C56EA0DF49D35AA98F0FB538335F071C

Linux/KillDisk.A trojan:

8F43BDF6C2F926C160A65CBCDD4C4738A3745C0C

Ransom message

We are so sorry, but the encryption
of your data has been successfully completed,
so you can lose your data or
pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF
with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

*