Investigadores de ESET descubrieron una variante para Linux del malware KillDisk, que fue usado para atacar a la infraestructura crítica de Ucrania a fines de 2015, así como a otros blancos en el sector financiero del país en diciembre de 2016. Esta nueva variante deja a las máquinas Linux sin posibilidad de arranque, tras cifrar archivos y solicitar un costoso rescate de 250 mil dólares. Pero incluso si las víctimas vacían sus bolsillos, la probabilidad de que los atacantes descifren los archivos es muy baja.
KillDisk: de eliminar a cifrar
LOS CIBERCRIMINALES NO PUEDEN PROVEER LAS CLAVES DE DESCIFRADO A PESAR DE QUE LAS VÍCTIMAS PAGUEN
KillDisk es un malware destructivo que ganó notoriedad como componente en los ataques ejecutados por el grupo BlackEnergy, dirigidos contra el suministro eléctrico de Ucrania en diciembre de 2015, y contra una de las principales agencias de noticias del país en noviembre de 2015. Más recientemente, detectamos ataques de sabotaje cibernético usando KillDisk contra diferentes blancos en el sector financiero ucraniano, planeados para el 6 de diciembre de 2016. En ese entonces, un grupo al que denominamos TeleBots había utilizado un kit de herramientas distinto, abusando del popular servicio de mensajería Telegram.
Las campañas de este componente continuaron a lo largo de diciembre, apuntando a diversos objetivos en el sector de transporte marítimo de Ucrania. El conjunto de herramientas de ataque ha evolucionado también, ya que los cibercriminales ahora usan backdoors de Meterpreter y la comunicación con el C&C ya no viaja a través de la API de Telegram.
Si bien las variantes de KillDisk del 6 de diciembre fueron bastante artísticas y mostraban una pantalla que hacía referencia a la popular serie Mr. Robot, variantes recientes añaden una funcionalidad más siniestra: ransomware que cifra archivos. El mensaje de rescate comienza con un provocativo “Lo sentimos…” y demanda a la víctima pagar una suma excepcionalmente alta a cambio de la devolución de los archivos cifrados: 222 bictoins, lo que al momento de escribir este artículo equivale a aproximadamente 250,000 dólares.
Imagen 1: Mensaje de rescate de KillDisk en Windows
Estas recientes variantes de ransomware de KillDisk no solo son capaces de apuntar a sistemas Windows, sino también a máquinas con Linux, lo cual es ciertamente algo que no vemos todos los días. Esto podría incluir no solo estaciones de trabajo con Linux sino también servidores, amplificando el potencial daño.
Las variantes de Windows, detectadas por ESET como Win32/KillDisk.NBK y Win32/KillDisk.NBL, cifran archivos con AES (clave de 256 bits de longitud generada usando CryptGenRandom) y la clave simétrica AES luego es cifrada usando RSA de 1024 bits. Para no cifrar los archivos dos veces, el malware añade el siguiente marcador al final de cada archivo cifrado: DoN0t0uch7h!$CrYpteDfilE.
Imagen 2: Mensaje de rescate de KillDisk en Linux
Tanto en Windows como en Linux, el mensaje de rescate es el mismo, incluyendo el monto de 222 BTC, la dirección Bitcoin y el email de contacto.
Análisis técnico de Linux/KillDisk.A
Si bien los detalles de extorsión son idénticos para las dos plataformas, la implementación técnica obviamente es diferente. El mensaje de rescate se muestra de manera inusual, dentro del gestor de arranque GRUB (GNU GRand Unified Bootloader), usado comúnmente para iniciar uno, dos o más sistemas operativos instalados en un mismo equipo. Cuando el malware se ejecuta, las entradas de este gestor se sobrescriben para mostrar el texto extorsivo.
La rutina de cifrado principal atraviesa recursivamente las siguientes carpetas dentro del directorio root hasta 17 subdirectorios en profundidad:
/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root
Los archivos se cifran usando Triple DES aplicado a bloques de archivos de 4096 bytes. Cada archivo es cifrado usando un conjunto diferente de claves de 64 bits.
Imagen 3: Código que genera claves de cifrado en Linux/KillDisk.A
Después de un reinicio, el sistema afectado no podrá arrancar.
Es importante notar que pagar el rescate demandado para la recuperación de la información es una pérdida de tiempo y dinero. Las claves de cifrado generadas en el host afectado no se guardan localmente ni se envían a un servidor de C&C.
Queremos hacer hincapié en que los cibercriminales detras de esta variante de KillDisk no pueden proveer a sus víctimas las claves de descifrado para recuperar sus archivos, a pesar de que paguen la extremadamente alta suma.
Además, investigadores de ESET notaron una falla en el cifrado empleado en la versión para Linux del ransomware, que hace posible (aunque difícil) la recuperación de los archivos. Cabe destacar que esto no aplica a la versión para Windows.
Conclusión: ¿por qué ransomware?
Al monitorear los ciberataques de BlackEnergy y TeleBots, observamos una evolución interesante del simple pero destructivo componente KillDisk. A lo largo de los años hemos detectado campañas contra muchos objetivos en diferentes sectores, incluyendo instituciones estatales e infraestructura crítica, muchos de ellos no relacionados.
LA INCLUSIÓN DE LA FUNCIONALIDAD DE RANSOMWARE ES INUSUAL: LOS ATAQUES PREVIOS ERAN DE CIBERESPIONAJE Y SABOTAJE
El grupo (o los grupos) detrás de estas operaciones han mostrado interés en varias plataformas, desde una PC Windows controlando sistemas SCADA/ICS hasta estaciones de trabajo en una agencia de medios. Con esta última expansión, los atacantes pueden usar KillDisk para destruir archivos en sistemas Linux. Sin embargo, los lazos entre los orquestradores de estos ataques siguen siendo poco claros y puramente circunstanciales.
La reciente inclusión de la funcionalidad de ransomware parece un poco inusual, dado que los ataques previos eran operaciones de espionaje y sabotaje cibernético. Considerando el elevado monto del rescate de alrededor de 250 mil dólares, que hace baja la probabilidad de que las víctimas vayan a pagar, sumado al hecho de que los atacantes no han implementado una forma eficiente de descifrar los archivos, esta no parece ser una verdadera campaña de ransomware.
Cualquiera sea la explicación, nuestro consejo sigue siendo el mismo: si fuiste víctima de ransomware, no pagues, ya que no hay garantía de que recuperes tu información. La única forma segura de lidiar con esta amenaza es la prevención: concientizarte, mantener tus sistemas actualizados, usar una buena solución de seguridad, tener backup y probar la capacidad de restauración.
Para más información sobre cómo protegerte del ransomware, sigue estos 11 consejos.
Indicadores de sistemas comprometidos (IoC)
Hashes SHA1
Troyano Win32/KillDisk.NBK y troyano Win32/KillDisk.NBL:
2379A29B4C137AFB7C0FD80A58020F5E09716437
25074A17F5544B6F70BA3E66AB9B08ADF2702D41
95FC35948E0CE9171DFB0E972ADD2B5D03DC6938
B2E566C3CE8DA3C6D9B4DC2811D5D08729DC2900
84A2959B0AB36E1F4E3ABD61F378DC554684C9FC
92FE49F6A758492363215A58D62DF701AFB63F66
26633A02C56EA0DF49D35AA98F0FB538335F071C
Troyano Linux/KillDisk.A:
8F43BDF6C2F926C160A65CBCDD4C4738A3745C0C
Mensaje de rescate
We are so sorry, but the encryption
of your data has been successfully completed,
so you can lose your data or
pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF
with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
