Investigadores de ESET descubrieron una variante para Linux del malware KillDisk, que fue usado para atacar a la infraestructura crítica de Ucrania a fines de 2015, así como a otros blancos en el sector financiero del país en diciembre de 2016. Esta nueva variante deja a las máquinas Linux sin posibilidad de arranque, tras cifrar archivos y solicitar un costoso rescate de 250 mil dólares. Pero incluso si las víctimas vacían sus bolsillos, la probabilidad de que los atacantes descifren los archivos es muy baja.

KillDisk: de eliminar a cifrar

KillDisk es un malware destructivo que ganó notoriedad como componente en los ataques ejecutados por el grupo BlackEnergy, dirigidos contra el suministro eléctrico de Ucrania en diciembre de 2015, y contra una de las principales agencias de noticias del país en noviembre de 2015. Más recientemente, detectamos ataques de sabotaje cibernético usando KillDisk contra diferentes blancos en el sector financiero ucraniano, planeados para el 6 de diciembre de 2016. En ese entonces, un grupo al que denominamos TeleBots había utilizado un kit de herramientas distinto, abusando del popular servicio de mensajería Telegram.

Las campañas de este componente continuaron a lo largo de diciembre, apuntando a diversos objetivos en el sector de transporte marítimo de Ucrania. El conjunto de herramientas de ataque ha evolucionado también, ya que los cibercriminales ahora usan backdoors de Meterpreter y la comunicación con el C&C ya no viaja a través de la API de Telegram.

Si bien las variantes de KillDisk del 6 de diciembre fueron bastante artísticas y mostraban una pantalla que hacía referencia a la popular serie Mr. Robot, variantes recientes añaden una funcionalidad más siniestra: ransomware que cifra archivos. El mensaje de rescate comienza con un provocativo “Lo sentimos…” y demanda a la víctima pagar una suma excepcionalmente alta a cambio de la devolución de los archivos cifrados: 222 bictoins, lo que al momento de escribir este artículo equivale a aproximadamente 250,000 dólares.

Estas recientes variantes de ransomware de KillDisk no solo son capaces de apuntar a sistemas Windows, sino también a máquinas con Linux, lo cual es ciertamente algo que no vemos todos los días. Esto podría incluir no solo estaciones de trabajo con Linux sino también servidores, amplificando el potencial daño.

Las variantes de Windows, detectadas por ESET como Win32/KillDisk.NBK y Win32/KillDisk.NBL, cifran archivos con AES (clave de 256 bits de longitud generada usando CryptGenRandom) y la clave simétrica AES luego es cifrada usando RSA de 1024 bits. Para no cifrar los archivos dos veces, el malware añade el siguiente marcador al final de cada archivo cifrado: DoN0t0uch7h!$CrYpteDfilE.

Imagen 2: Mensaje de rescate de KillDisk en Linux

Tanto en Windows como en Linux, el mensaje de rescate es el mismo, incluyendo el monto de 222 BTC, la dirección Bitcoin y el email de contacto.

Análisis técnico de Linux/KillDisk.A

Si bien los detalles de extorsión son idénticos para las dos plataformas, la implementación técnica obviamente es diferente. El mensaje de rescate se muestra de manera inusual, dentro del gestor de arranque GRUB (GNU GRand Unified Bootloader), usado comúnmente para iniciar uno, dos o más sistemas operativos instalados en un mismo equipo. Cuando el malware se ejecuta, las entradas de este gestor se sobrescriben para mostrar el texto extorsivo.

La rutina de cifrado principal atraviesa recursivamente las siguientes carpetas dentro del directorio root hasta 17 subdirectorios en profundidad:

/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root

Los archivos se cifran usando Triple DES aplicado a bloques de archivos de 4096 bytes. Cada archivo es cifrado usando un conjunto diferente de claves de 64 bits.

Después de un reinicio, el sistema afectado no podrá arrancar.

Es importante notar que pagar el rescate demandado para la recuperación de la información es una pérdida de tiempo y dinero. Las claves de cifrado generadas en el host afectado no se guardan localmente ni se envían a un servidor de C&C.

Queremos hacer hincapié en que los cibercriminales detras de esta variante de KillDisk no pueden proveer a sus víctimas las claves de descifrado para recuperar sus archivos, a pesar de que paguen la extremadamente alta suma.

Además, investigadores de ESET notaron una falla en el cifrado empleado en la versión para Linux del ransomware, que hace posible (aunque difícil) la recuperación de los archivos. Cabe destacar que esto no aplica a la versión para Windows.

Conclusión: ¿por qué ransomware?

Al monitorear los ciberataques de BlackEnergy y TeleBots, observamos una evolución interesante del simple pero destructivo componente KillDisk. A lo largo de los años hemos detectado campañas contra muchos objetivos en diferentes sectores, incluyendo instituciones estatales e infraestructura crítica, muchos de ellos no relacionados.

El grupo (o los grupos) detrás de estas operaciones han mostrado interés en varias plataformas, desde una PC Windows controlando sistemas SCADA/ICS hasta estaciones de trabajo en una agencia de medios. Con esta última expansión, los atacantes pueden usar KillDisk para destruir archivos en sistemas Linux. Sin embargo, los lazos entre los orquestradores de estos ataques siguen siendo poco claros y puramente circunstanciales.

La reciente inclusión de la funcionalidad de ransomware parece un poco inusual, dado que los ataques previos eran operaciones de espionaje y sabotaje cibernético. Considerando el elevado monto del rescate de alrededor de 250 mil dólares, que hace baja la probabilidad de que las víctimas vayan a pagar, sumado al hecho de que los atacantes no han implementado una forma eficiente de descifrar los archivos, esta no parece ser una verdadera campaña de ransomware.

Cualquiera sea la explicación, nuestro consejo sigue siendo el mismo: si fuiste víctima de ransomware, no pagues, ya que no hay garantía de que recuperes tu información. La única forma segura de lidiar con esta amenaza es la prevención: concientizarte, mantener tus sistemas actualizados, usar una buena solución de seguridad, tener backup y probar la capacidad de restauración.

Para más información sobre cómo protegerte del ransomware, sigue estos 11 consejos.

Fuente noticia: http://www.welivesecurity.com/
Fuente foto: pixabay.com