Компания ESET нашла новейшую модификацию угрозы KillDisk, которая шифрует Linux-компьютеры и требует выкуп в объеме 250 000 долл в криптовалюте Bitcoins за их разблокирование. Малварь приобрела также функции шифратора.
Зловред KillDisk, использованный в атаках на учреждения энергетического сектора государства Украины годом ранее, приобрел «новую жизнь». А в недалеком прошлом профессионалы ESET обнаружили диверсионные кибератаки, запланированные на 6 декабря 2016 г, на ряд целей в рамках финансового сектора Украины. Взамен удаленных программа создавала новые файлы, содержащие строчку mrR0b07 либо fS0cie7y — отсылки к сериалу «Мистер Робот». Зловред шифрует файлы инфицированных устройств, используя алгоритмы RSA и AES, а за их расшифровку киберпреступники требуют огромную по меркам данного уголовного бизнеса сумму в 222 биткоина (порядка 206 тыс. долларов).
Ученые пишут, что улучшенный KillDisk представляет опасность для компьютеров и серверов, работающих как под управлением Windows, так и Linux. В числе потенциальных жертв не только лишь рабочие станции, однако и серверы, что увеличивает возможный вред.
Функционал вымогателя присутствует также в Linux-версии вредоноса. Для любого файла применяется различный набор 64-битных ключей шифрования. Хакеры расширили набор инструментов угрозы, используя уже бэкдор Meterpreter и отказавшись от связи с командным сервером (C&C) через Telegram API.
Файлы на устройстве жертвы шифруются при помощи Triple-DES в файловые блоки по 4096 байт.
Также ученые обнаружили, что ключи шифрования не сохраняются локально и не уходят на управляющий сервер правонарушителей.
По данным ESET, новая вариация KillDisk — это разработка хакерской группы TeleBots, в которую, как считают ученые, эволюционировала группировка Sandworm.