Ransomware che attacca Linux? Ecco KillDisk

Il ransomware che ha nel mirino Linux: KillDisk

Che fare se il ransomware KillDisk vi infetta? Paghiamo oppure no?

E’ opinione comune che i sistemi operativi opensource tipo Linux e i suoi derivati, siano invulnerabili ai virus. Questo è praticamente vero se parliamo di virus che vengono progettati per attaccare i più comuni sistemi operativi in circolazione.

Oggi però, anche per gli utenti Linux devono prestare attenzione: c’è un ransomware che prende nel mirino il sistema operativo del pinguino. Si chiama KillDisk.

Attualmente l’FBI consiglia di pagare se non avete una copia di backup per ripartire senza problemi. Ma con questa versione di KillDisk non si ha la certezza della decriptazione. Infatti pur pagando, non si ha la chiave necessaria allo sblocco.

Cos’è KillDisk?

Partiamo dal principio: KillDisk è un malware distruttivo, che attacca i dati in nostro possesso su PC e server. E’ stato precedentemente utilizzato per sabotare aziende private, eliminando in modo casuale i file dai computer.

Prima di diventare a tutti gli effetti un ransomware, KillDisk era stato utilizzato esclusivamente per impieghi di cyber-spionaggio e di cyber-sabotaggio.

Infatti, questo virus è associabile al malware Black Energy, che è stato utilizzato per colpire diverse centrali elettriche ucraine nel 2015, causando quindi disagi a migliaia di persone. Avvenne cancellando file di sistema, rimpiazzando file di dati e riscrivendo molte estensione dei file.

Ma secondo i ricercatori di sicurezza ESET, il malware KillDisk è tornato con nuove varianti che colpiscono desktop, server Windows e Linux, crittografando i file e poi chiedendo una taglia insolitamente grande: si aggira intorno ai 218,000$ in Bitcoins, ovvero probabilmente la taglia più grande mai chiesta fino ad oggi.

Ma c’è di peggio: la variante per Linux non memorizza la chiave per far scattare la decriptazione, da nessuna parte che sia sul disco oppure online in server nascosti dei criminali.

Quindi non c’è alcuna sicurezza che dopo aver pagato, si riavrà indietro il proprio Linux come prima.

La buona notizia è che i ricercatori ESET hanno trovato un punto debole nella crittografia utilizzato dalla variante di Linux, che rende il recupero dei file crittografati possibili, anche se difficile. Lo stesso difetto non è presente nella variante Windows del ransomware.

Entriamo nel dettaglio: come funzionano le versioni Linux e Windows?

La versione WindowsLa versione di KillDisk che prende di mira le macchine Windows, cripta prima i file con una chiave AES-256, poi cripta tutte le chiavi AES con una chiave pubblica RSA-1028.

La chiave RSA è memorizzata quindi sui server del truffatore.

KillDisk Windows ransomware ransom note
Uno screenshot dello schermo di riscatto della versione per Windows (via CyberX)

Il truffatore riceve la chiave di crittografia sui suoi server tramite il protocollo di comunicazione di Telegram. Proprio per questo, CyberX a nominato gli hacker di questo ransomware come il gruppo “TeleBots”.

Nel dicembre 2016, il gruppo “TeleBots” ha utilizzato il ransomware KillDisk di Windows per attaccare delle banche ucraine. Ad oggi però, non ci sono prove per collegare il gruppo TeleBots con i BlackEnergy.

La versione Linux

La variante di Linux individuata dai ricercatori ESET è molto diversa da quella di Windows.

In primo luogo, la versione per Linux non parla più al suo server C&C tramite l’API di Telegram. Anche la crittografia è anche diversa. Ancora secondo i ricercatori ESET, i file delle vittime Linux che sono stati infettati dal malware sono criptati utilizzando “Triple-DES applicato a blocchi di file di 4096 byte”. Ogni file sul computer viene criptato da un insieme diverso di chiavi crittografiche a 64 bit.

La variante di Linux prende di mira le seguenti cartelle, ad una profondità di 17 sottocartelle, crittografando tutti i file e aggiungendo la terminazione “DoN0t0uch7h! $ CrYpteDfilE”.

/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

Il malware quindi chiede la richiesta di riscatto in un modo insolito: all’interno del bootloader GRUB, ciò che significa che il ransomware KillDisk Linux sovrascrive le voci bootloader per visualizzare il testo del riscatto.

KillDisk Linux ransomware ransom note
Uno screenshot dello schermo di riscatto della versione Linux (via ESET)

La richiesta di riscatto è identica a quella mostrata nella versione per Windows, compreso l’indirizzo di posta elettronica a cui le vittime possono contattare i truffatori.

Ipotesi del reale funzionamento… Un’esca?

In tutti gli attacchi che fecero, il gruppo “BlackEnergy” aveva usato KillDisk per distruggere computer, cancellando le prove dei loro attacchi, perpetrati con le altre famiglie di malware.Le caratteristiche ransomware appena aggiunte possono essere quindi un altro modo per mascherare i loro attacchi. Le aziende colpite, pensando che potrebbero essere state infettate da un comune ransomware, potrebbero non indagare cercando altri indizi di intrusione nei propri sistemi.L’enorme richiesta di riscatto del ransomware gioca anche con questo aspetto, in quanto è assurdo pensare che una società potrebbe pagare così tanto per recuperare i propri file.Il gruppo “TeleBots” potrebbe agire sperarando che le aziende rinuncino a loro files. In questo modo, altri segni e indizi di intrusioni del gruppo andrebbero persi e criptati per sempre.

 

 

About the author: amf

System Integrator and Vitualization EXPERT - VCP