News

Il ransomware KillDisk ora prende di mira Linux

Bleeping Computer riferisce che i ricercatori di ESET hanno scoperto una variante del blocker KillDisk – malware di recente creazione – destinata a Linux. È risultato, tuttavia, che tale versione contiene una falla, la quale, effettivamente, dà speranza riguardo alla possibilità di ripristinare i file crittografati.

La funzionalità aggiuntiva, che permette di cifrare i file della vittima per poi richiedere il pagamento del riscatto, è stata acquisita davvero da poco, da tale malware; gli analisti di CyberX, ad ogni caso, autori della scoperta di tale “novità”, hanno osservato la stessa entrare in azione solo nei confronti di Windows. La versione del ransomware destinata a Linux, secondo ESET, funziona in maniera del tutto diversa e si differenzia, in primo luogo, per il fatto che essa non salva in alcun modo le chiavi di codifica, né sul disco locale, né online. Di solito, in questi casi, la vittima non ha chance di vedersi restituire i file criptati; i ricercatori affermano, tuttavia, di aver individuato una falla nel malware in questione, la quale consente di poter correggere tale delicata situazione. Nella versione del blocker KillDisk sviluppata per colpire l’OS Windows manca, purtroppo, questo “punto debole”.

Sui computer Windows, KillDisk codifica i file per mezzo di una chiave AES a 256 bit (creata ex-novo per ogni singolo file); la coppia di chiavi AES viene in seguito cifrata tramite una chiave RSA pubblica a 1024 bit, incorporata nel codice. La chiave RSA privata viene custodita nel server dei cybercriminali; essa consente a questi ultimi di poter decodificare i file una volta pagato il riscatto (fissato in ben 222 bitcoin). Il malware invia le chiavi cifrate al proprio server, utilizzando l’API di Telegram; proprio per questo specifico motivo, gli esperti di CyberX hanno denominato “gruppo TeleBots” gli autori delle campagne KillDisk.

La versione Linux del cryptoblocker KillDisk non utilizza un simile canale per comunicare con il proprio server C&C, e si avvale di un altro algoritmo di crittografia. Come scrive il reporter di Bleeping Computer, citando i ricercatori, in tal caso “i file vengono cifrati utilizzando il Triple-DES, applicato a blocchi di file da 4096 byte; inoltre, “ogni file viene codificato tramite un proprio set di chiavi a 64 bit”.

Nel ricercare i file da sottoporre a codifica, il ransomware Linux opera con un elenco di cartelle presenti nella directory root (/boot, /bin, /lib/security, /share, /media, /usr, /tmp, /root, e via dicendo), spingendosi sino ad un massimo di 17 sottocartelle. Ai file cifrati viene poi aggiunto il marker “DoN0t0uch7h!$CrYpteDfilE”.

Anche la stessa richiesta di pagamento del riscatto viene mostrata, da parte del nuovo KillDisk, in maniera del tutto inusuale, ovvero utilizzando il bootloader GRUB. Per far questo, il malware sovrascrive il settore di boot; in tal modo, una volta effettuato il riavvio, il sistema infetto interrompe il proprio caricamento. Il testo della notifica contenente la richiesta di riscatto, secondo gli esperti, è del tutto identico a quello mostrato dalla versione Windows del ransomware; identici, poi, sono anche la somma richiesta, il portafoglio Bitcoin indicato e l’indirizzo e-mail di contatto.

In precedenza, KillDisk veniva utilizzato esclusivamente in qualità di componente dispiegato per condurre attacchi distruttivi, eseguiti a scopo di spionaggio o cyber-sabotaggio. Esso rimuoveva importanti file di sistema, sostituiva file di dati, sovrascriveva alcuni tipi di file, consentendo così agli attacker di poter mettere fuori uso, in maniera particolarmente efficace, il computer preso di mira e, al tempo stesso, di poter eliminare le tracce generate dagli assalti informatici realizzati attraverso altri programmi malware. L’autore del post pubblicato su Bleeping Computer ritiene che le funzionalità di cryptoblocker possano essere state implementate, in KillDisk, per lo stesso identico scopo: mascherare determinati attacchi in corso; in effetti, preoccupandosi per la grave perdita di importanti file, la vittima dell’infezione difficilmente andrà a ricercare tracce e segnali di altre intrusioni.

Fonte: Bleepingcomputer

Il ransomware KillDisk ora prende di mira Linux

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox