Il ransomware KillDisk ora prende di mira Linux

Bleeping Computer riferisce che i ricercatori di ESET hanno scoperto una variante del blocker KillDisk – malware di recente creazione – destinata a Linux. È risultato, tuttavia, che tale versione contiene una falla, la quale, effettivamente, dà speranza riguardo alla possibilità di ripristinare i file crittografati.

La funzionalità aggiuntiva, che permette di cifrare i file della vittima per poi richiedere il pagamento del riscatto, è stata acquisita davvero da poco, da tale malware; gli analisti di CyberX, ad ogni caso, autori della scoperta di tale “novità”, hanno osservato la stessa entrare in azione solo nei confronti di Windows. La versione del ransomware destinata a Linux, secondo ESET, funziona in maniera del tutto diversa e si differenzia, in primo luogo, per il fatto che essa non salva in alcun modo le chiavi di codifica, né sul disco locale, né online. Di solito, in questi casi, la vittima non ha chance di vedersi restituire i file criptati; i ricercatori affermano, tuttavia, di aver individuato una falla nel malware in questione, la quale consente di poter correggere tale delicata situazione. Nella versione del blocker KillDisk sviluppata per colpire l’OS Windows manca, purtroppo, questo “punto debole”.

Sui computer Windows, KillDisk codifica i file per mezzo di una chiave AES a 256 bit (creata ex-novo per ogni singolo file); la coppia di chiavi AES viene in seguito cifrata tramite una chiave RSA pubblica a 1024 bit, incorporata nel codice. La chiave RSA privata viene custodita nel server dei cybercriminali; essa consente a questi ultimi di poter decodificare i file una volta pagato il riscatto (fissato in ben 222 bitcoin). Il malware invia le chiavi cifrate al proprio server, utilizzando l’API di Telegram; proprio per questo specifico motivo, gli esperti di CyberX hanno denominato “gruppo TeleBots” gli autori delle campagne KillDisk.

La versione Linux del cryptoblocker KillDisk non utilizza un simile canale per comunicare con il proprio server C&C, e si avvale di un altro algoritmo di crittografia. Come scrive il reporter di Bleeping Computer, citando i ricercatori, in tal caso “i file vengono cifrati utilizzando il Triple-DES, applicato a blocchi di file da 4096 byte; inoltre, “ogni file viene codificato tramite un proprio set di chiavi a 64 bit”.

Nel ricercare i file da sottoporre a codifica, il ransomware Linux opera con un elenco di cartelle presenti nella directory root (/boot, /bin, /lib/security, /share, /media, /usr, /tmp, /root, e via dicendo), spingendosi sino ad un massimo di 17 sottocartelle. Ai file cifrati viene poi aggiunto il marker “DoN0t0uch7h!$CrYpteDfilE”.

Anche la stessa richiesta di pagamento del riscatto viene mostrata, da parte del nuovo KillDisk, in maniera del tutto inusuale, ovvero utilizzando il bootloader GRUB. Per far questo, il malware sovrascrive il settore di boot; in tal modo, una volta effettuato il riavvio, il sistema infetto interrompe il proprio caricamento. Il testo della notifica contenente la richiesta di riscatto, secondo gli esperti, è del tutto identico a quello mostrato dalla versione Windows del ransomware; identici, poi, sono anche la somma richiesta, il portafoglio Bitcoin indicato e l’indirizzo e-mail di contatto.

In precedenza, KillDisk veniva utilizzato esclusivamente in qualità di componente dispiegato per condurre attacchi distruttivi, eseguiti a scopo di spionaggio o cyber-sabotaggio. Esso rimuoveva importanti file di sistema, sostituiva file di dati, sovrascriveva alcuni tipi di file, consentendo così agli attacker di poter mettere fuori uso, in maniera particolarmente efficace, il computer preso di mira e, al tempo stesso, di poter eliminare le tracce generate dagli assalti informatici realizzati attraverso altri programmi malware. L’autore del post pubblicato su Bleeping Computer ritiene che le funzionalità di cryptoblocker possano essere state implementate, in KillDisk, per lo stesso identico scopo: mascherare determinati attacchi in corso; in effetti, preoccupandosi per la grave perdita di importanti file, la vittima dell’infezione difficilmente andrà a ricercare tracce e segnali di altre intrusioni.

Fonte: Bleepingcomputer

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *