Conecta con nosotros

Noticias

El ransomware KillDisk para Linux pide un falso rescate de 215.000 dólares

Publicado el

Ransomware KillDisk para Linux pide un falso rescate de 215.000 dólares

Ransomware KillDisk para Linux pide un falso rescate de 215.000 dólares

Unos investigadores han descubierto una variante para servidores Linux del ransomware KillDisk que se encarga de cifrar los ficheros almacenados en el disco duro o SSD, mientras que otras versiones, que afectaban sobre todo a Windows, se dedicaban a chantajear a las empresas con el borrado aleatorio de ficheros.

Esta nueva variante que afecta a Linux fue descubierta por ESET una semana después de que miembros de CyberX descubrieran una primera versión de KillDisk que incluía características de ransomware contra ordenadores Windows.

La variante para Linux

Tras terminar el proceso de cifrado de los ficheros, la variante de KillDisk para Linux no almacena en ningún lugar la clave de descifrado, ni localmente ni obteniéndola de un mando y control. Esto quiere decir que las víctimas no podrán recuperar los ficheros. Sin embargo, los investigadores de ESET han descubierto un fallo en la variante para Linux que permite recuperarlos.

Según los investigadores, “los ficheros son cifrados utilizando Triple-DES aplicado a bloques de ficheros de 4096 bytes” y “cada fichero es cifrado utilizando un conjunto diferente de claves de 64 bits”. El malware tiene como objetivo las carpetas del sistema que se ven a continuación y alcanza una profundidad de hasta 17 niveles de subdirectorios, cifrando todos los ficheros que encuentra a su paso y añadiendo la terminación «DoN0t0uch7h!$CrYpteDfilE», ya que Linux no trabaja internamente con extensiones.

/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

KillDisk para Linux también sobrescribe el sector de arranque del sistema y utiliza el gestor de arranque GRUB para mostrar su mensaje de indicaciones para rescatar los ficheros cifrados (supuestamente descifrarlos). Como se puede ver, se indica la cantidad a pagar, que son 222 bitcoins (que vienen a ver unos 215.000 dólares), dónde hay que depositar el dinero y un email de contacto.

Mensaje de la versión de KillDisk para Linux

Sin embargo, recordamos que no hay ninguna clave de descifrado, por lo que la víctima simplemente perderá el dinero y no recuperará los ficheros en caso de realizar el pago. Así que recomendamos no efectuarlo bajo ninguna circunstancia hasta que salga una solución gratuita o bien restaurar una copia de seguridad en caso de que la pérdida de datos pueda entrar dentro de un margen tolerable (esto ya depende de cada caso).

La variante para Windows

La variante de KillDisk para Windows es anterior a la de Linux y cifra los ficheros utilizando AES-256, volviendo a cifrar las claves AES con una clave pública RSA-1028.

Durante el proceso de infección se genera una clave privada RSA que se almacena en el servidor de los ciberdelincuentes, permitiendo a estos últimos revertir el ataque con malware después de que la víctima haya pagado los 222 bitcoins que exigen. La imagen que muestra la variante de KillDisk para Windows tras el proceso de infección es la siguiente.

Mensaje de la versión de KillDisk para Windows

Al contrario que en la versión para Linux, en Windows sí se puede obtener una clave de descifrado, la cual envían a través del protocolo de Telegram. Debido a esta manera de proceder, CyberX ha decidido llamar al grupo tras este malware TeleBots.

KillDisk, un malware usado para muchos propósitos

Lo elevado de la cuantía del rescate pedido por los ciberdelincuentes deja entrever que tienen a las empresas como objetivo prioritario.

Por otro lado, no todas las variantes de KillDisk son ransomware, habiéndose utilizado para muchos propósitos diferentes, incluido el ciberespionaje por parte de un grupo de hackers llamado BlackEnergy, que 2015 llevó a cabo un sabotaje contra la red eléctrica ucraniana.

De noviembre de 2015 se tiene constancia de que KillDisk fue utilizado contra medios de comunicación ucranianos y en diciembre de 2016 el grupo TeleBots usó la versión para Windows que hemos descrito en este artículo para atacar bancos ucranianos.

Fuente | BleepingComputer

Lo más leído