KillDisk rançonne Linux mais ne restitue pas les fichiers

Le par  |  98 commentaire(s)
Telebots

KillDisk est de retour mais il a muté en ransomware. Après avoir ciblé les systèmes Windows, il s'en prend à des machines sous Linux.

Le malware KillDisk s'était notamment fait connaître dans le cadre d'une cyberattaque qui avait provoqué une coupure d'électricité à l'ouest de l'Ukraine fin 2015. Il existait un lien supposé entre cette charge utile implantée sur des ordinateurs Windows de plusieurs compagnies d'électricité et le cheval de Troie BlackEnergy.

À la fin de l'année dernière, des chercheurs en sécurité de CyberX ont rapporté la transformation de KillDisk en un ransomware demandant le versement d'une rançon de 222 bitcoins pour l'obtention d'une clé de déchiffrement afin de restaurer des disques durs locaux et des volumes partagés au sein d'une entreprise. Un montant très élevé.

Plutôt que l'effacement des données, le ransomware KillDisk s'est mis au chiffrement de fichiers, et ce via une clé AES-256 pour chaque fichier. Les clés AES sont ensuite chiffrées avec une clé publique RSA-1028. Une clé RSA privée sur le serveur des cybercriminels permet le déchiffrement des fichiers des victimes si elles paient la grosse rançon.

Sous sa forme de ransomware, KillDisk a d'abord ciblé des machines Windows, et a usé de l'API publique de la messagerie Telegram pour une communication avec les attaquants (à l'instar de Telecrypt). CyberX évoque un développement par un groupe de cybercriminels russes dénommé TeleBots qui serait une émanation du groupe à l'origine de BlackEnergy.

Telebots a utilisé une version de KillDisk affichant une image empruntée à la série Mr. Robot pour attaquer des banques ukrainiennes. Aujourd'hui, ESET rapporte qu'une variante du ransomware KillDisk chiffre les machines Linux, que ce soit des postes de travail ou serveurs. Cette version Linux n'a plus recours à l'API de Telegram, et la méthode de chiffrement est différente.

Des chercheurs de ESET évoquent du chiffrement symétrique par bloc de fichiers de 4096 octets avec trois applications successives de l'algorithme DES. Chaque fichier est chiffré via des clés 64 bits différentes.

KillDisk-Linux-GRUB

Par le biais du bootloader GRUB, une rançon est toujours demandée. " Les clés ne sont ni stockées ni envoyées ", écrit ESET. " La conception du malware empêche la récupération des fichiers chiffrés ". Pour le coup, ne pas payer une rançon est d'autant plus judicieux…

D'après ESET, qui publie des informations techniques sur KillDisk, il existe une faille dans le chiffrement utilisé par la version Linux du ransomware KillDisk. " La récupération des fichiers chiffrés est possible mais difficile ". Cette faille n'existe pas avec la version Windows de KillDisk.

Complément d'information

Vos commentaires Page 1 / 10

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1942248
Bon à savoir ...
Le #1942254
Ca fait 220.000 boules la clé de déchiffrement

Mieux vaut pas lancer de softs pourris
Le #1942260
skynet a écrit :

Ca fait 220.000 boules la clé de déchiffrement

Mieux vaut pas lancer de softs pourris


Comme quoi, bien faire ses sauvegardes (et les actualiser au moins une fois par semaine), c'est essentiel ...
Anonyme
Le #1942265
FRANCKYIV a écrit :

skynet a écrit :

Ca fait 220.000 boules la clé de déchiffrement

Mieux vaut pas lancer de softs pourris


Comme quoi, bien faire ses sauvegardes (et les actualiser au moins une fois par semaine), c'est essentiel ...


Je suis entièrement d'accord, les sauvegardes c'est essentiel
Le #1942267
FRANCKYIV a écrit :

skynet a écrit :

Ca fait 220.000 boules la clé de déchiffrement

Mieux vaut pas lancer de softs pourris


Comme quoi, bien faire ses sauvegardes (et les actualiser au moins une fois par semaine), c'est essentiel ...


Oui, c'est vraiment indispensable ..

Je suis en train de me monter un nouveau Nas sur base Synology (Xpenology ), je vais doubler certains backups importants ...

Le #1942269
FRANCKYIV a écrit :

skynet a écrit :

Ca fait 220.000 boules la clé de déchiffrement

Mieux vaut pas lancer de softs pourris


Comme quoi, bien faire ses sauvegardes (et les actualiser au moins une fois par semaine), c'est essentiel ...


Encore faut t'il que vos sauvegardes ne soient pas connectées en permanence comme chez 99% des gens car autrement, elles vont aussi être cryptées.
Le #1942271
Dodge34 a écrit :

FRANCKYIV a écrit :

skynet a écrit :

Ca fait 220.000 boules la clé de déchiffrement

Mieux vaut pas lancer de softs pourris


Comme quoi, bien faire ses sauvegardes (et les actualiser au moins une fois par semaine), c'est essentiel ...


Encore faut t'il que vos sauvegardes ne soient pas connectées en permanence comme chez 99% des gens car autrement, elles vont aussi être cryptées.


Yep, faut faire gaffe
Le #1942272
Dodge34 a écrit :

FRANCKYIV a écrit :

skynet a écrit :

Ca fait 220.000 boules la clé de déchiffrement

Mieux vaut pas lancer de softs pourris


Comme quoi, bien faire ses sauvegardes (et les actualiser au moins une fois par semaine), c'est essentiel ...


Encore faut t'il que vos sauvegardes ne soient pas connectées en permanence comme chez 99% des gens car autrement, elles vont aussi être cryptées.


Oui tout à fait
Le #1942283
Et ça se chope comment sous Linux,j'vois pas trop là ?
Y a déjà eu une victime ? Où est le témoignage ?

J'ai cliqué le lien ESET dans l'article et ça m'a amené ici https://www.amazon.fr/Eset-Software-98102-Nod-antivirus/dp/B0008GJTHG%3FSubscriptionId%3DAKIAJMNSTE3VL4CWDJ7Q%26tag%3Dg06428-21%26linkCode%3Dxm2%26camp%3D2025%26creative%3D165953%26creativeASIN%3DB0008GJTHG

Devinez quoi ! C'est un lien pour acheter ESET pour Windows (chez .....tadaaaaaaaaaaaaa. A M A Z O N ! C'est un gag ? )


Sinon le lien technique ESET ne dit rien à propos du nombre de victimes, comment ils ont découvert le ransomware, et comme le font remarquer les commentaires, aucune explication sur le vecteur d'infection.

Tous les mois, Kaspersky ou ESET nous parlent de virus que personne en dehors de ces labos n'a jamais vu (si vous trouvez un forum où UN mec dit avoir été infecté faites signe svp). On a compris qu'ils veulent convaincre des gens d'acheter leur "solution" mais bon ça devient un peu gros la ficelle là quand même.
Le #1942285
mouarf76 a écrit :

Et ça se chope comment sous Linux,j'vois pas trop là ?
Y a déjà eu une victime ? Où est le témoignage ?


Demande à ton clebard...ce soir

Bon, j'arrête de déconner, même si c'est vendredi.
Linux est tout aussi soumis aux malwares que n'importe quel OS.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]