KillDisk күштеп алушы-бағдарлама Linux-ке шабуыл жасайды, қайта жүктеуге мүмкіндік бермейді және аяқталмаған шифрлауды пайдаланады

Зерттеушілер KillDisk дискісіндегі іздерді өшірушілерге арналған зиянды бағдарламалар тобының жаңа кеңейтуі болып табылатын KillDisk күштеп алушының Linux нұсқасын айқындады. Ол бұрын файлдарды байқаусызда жою және өзгерту жолымен компанияларға зиян келтіру үшін пайдаланылған.

ESET компаниясы Linux машиналарына арналған KillDisk күштеп алушыны зерттеушілер KillDisk-ның күштеп алушының функционалы қамтылған, бірақ Windows машиналарына арналған CyberX нұсқаларын айқындағаннан кейін ғана айқындады.

Linux нұсқасы шифрлау кілтін епсіз пайдаланады

ESET компаниясына сәйкес KillDisk күштеп алушынының Windows және Linux арналған әдістері мүлдем әртүрлі. KillDisk шифрлау кілтін ешқайда сақтамайтыны Linux-тегі проблемалардың бірі болып табылады: не дискіде, не онлайн.

Әдетте, бұл зиян келтірілген тұлғалар файлдарды ешқашан қалпына келтіре алмайтынын білдіреді, себебі шифрлау кілті шифрлағаннан кейін дереу жоғалады.

Алайда, ESET зерттеушілері Linux нұсқасында шифрланған файлдарды қалпына келтіруге мүмкіндік беретін қателер айқындады. Windows нұсқасында мұндай қателер табылған жоқ.

KillDisk күштеп алушы, Windows нұсқасы

Windows машиналарын көздейтін KillDisk күштеп алушы AES-256 кілтін пайдалана отырып, әрбір файлды шифрлау арқылы жұмыс істейді, ал содан соң AES кілттерін RSA-1028 ашық кілтімен шифрлау.

RSA жасырын кілті зиянкестердің серверінде сақталады және бұл зиян келтірілетін тұлға 222 биткоинді (~$215,000) құрайтын үлкен соманы төлегеннен кейін ғана зиянкестерге оның файлдарының мәнін ашуға мүмкіндік береді. Күштеп алушының Windows нұсқасының скриншоты төменде беріледі.


KillDisk күштеп алушы Windows-да (CyberX)

Зиянкестер атауы ұқсас хабарламалармен жедел алмасу қосымшасын пайдалана отырып, Telegram хаттамасы арқылы шифрлау кілттерін олардың серверлерінен алады. Осыған байланысты CyberX аталған күштеп алушы кампаниясының операторларын TeleBots тобы деп атады.

KillDisk күштеп алушы, Linux нұсқасы

ESET зерттеушілері өткен аптада Linux нұсқасы мен Windows нұсқасы арасында айтарлықтай айырмашылық бар екенін белгіледі.

Linux нұсқасы, бірінші кезекте, Telegram арқылы C&C серверімен хабарламалармен алмаспайды. Шифрлау да ерекшеленеді.

Зерттеушілерге сәйкес зиян келтірілетін тұлғаның файлдары 4096-байтты файлдық блоктар үшін пайдаланылатын үш қабатты DES-ны пайдалану арқылы шифрланады және «әрбір файл 64-битті шифрлау кілттерінің түрлі жиынтықтарын пайдалана отырып шифрланады».

Linux нұсқасы 17 кіші каталогтан тұратын каталогтарға арналған, барлық файлдарды шифрлайды және файлдардың соңына "DoN0t0uch7h!$CrYpteDfilE" қосады.

/boot

/bin

/sbin

/lib/security

/lib64/security

/usr/local/etc

/etc

/mnt

/share

/media

/home

/usr

/tmp

/opt

/var

/root

Сонымен қатар KillDisk Linux күштеп алушы пайдаланушы дискісінің жүктеу секторын қайта жазады және күштеп алушының экранын көрсету үшін GRUB операциялық жүйесінің жүктегішін пайдаланады.

Күштеп алушы хабарламасының әрбір сөзі зиян келтірілетін тұлғалар күштеп алушылармен байланыса алатын электрондық пошта мекенжайын қоса алғанда, Windows нұсқасының хабарламасына толығымен ұқсас.


KillDisk күштеп алушының Linux-тегі (ESET) хабарламасы

KillDisk осы уақытқа дейін тек қана кибер-тыңшылық пен кибер- зиянкестік операциялар үшін пайдаланылған.

Жүйелік файлдарды жоюды, деректер файлдарын ауыстыру мен файлдардың кеңейтулерін өзгертуді қоса алғанда, KillDisk пайдалану арқылы жасалатын шабуылдар ең танымал болып табылады.

KillDisk 2015 жылғы қарашада укараинаның жаңалықтар агенттігіне қарсы шабуылдарда пайдаланылды. 2015 жылғы желтоқсанда KillDisk Украинаның энергетикалық желісіне зиян келтіру үшін пайдаланылған. BlackEnergy ретінде таныман кибер тыңшылық тобының аталған шабуылдарды ұйымдастыруға қатысты бар деген күдік туындауда.

TeleBots тобы KillDisk күштеп алушының Windows нұсқасын 2016 жылғы желтоқсанда украинаның банктеріне шабуылдар жасау үшін пайдаланды. Осы мақала жазылған сәтте TeleBots және BlackEnergy топтары арасында байқалыс байқалмаған.

Функционал тұзақ ретінде пайдаланылды ма?

BlackEnergy барлық шабуылдарда компьютерлерді істен шығару және зиянды БҚ басқа топтары жүргізген шабуылдардың іздерін жою үшін KillDisk пайдаланды.

Күштеп алу бойынша жаңадан енгізілген функционал басқа шабуылдарды жасыру әдісі болуы мүмкін, мәселен, компания күштеп алушылардың шабуылына ұшырағанына күдіктеніп, ықтимал енудің басқа жағдайларын зерттемеуі мүмкін.

Сондай-ақ, төлеп алудың үлкен сомасы да осы сценарийді дәлелдиді, себебі компанияның файлдарды қалпына келтіру үшін осындай үлкен соманы төлейтіні екіталай.

TeleBots тобы компания өзінің файлдарын қалпына келтіру әрекеттерін тоқтататынына сенетін шығар. Осылайша, енудің басқа іздері мен жағдайлары мүлдем жоғалып, шифрланатын болады.

Ақпарат көзі: www.bleepingcomputer.com