KillDisk-Erpresser steigt auf Linux um

Bleeping Computer berichtet, dass die Forscher bei ESET eine Variante des brandneuen Kryptoblockers KillDisk entdeckt haben, die auf Linux ausgerichtet ist. Wie sich zeigte, enthält diese Version einen Fehler, der möglicherweise eine Wiederherstellung der verschlüsselten Dateien erlaubt.

Über die Zusatzfunktionalität, die es ermöglicht, die Dateien des Opfers zu verschlüsseln und ein Lösegeld zu fordern, verfügt der Schädling erst seit Neuestem, doch die Analysten von CyberX, die diesen Neuling entdeckten, konnte ihn nur im Einsatz gegen Windows beobachten. Die Version des Erpressers für Linux funktioniert laut Angaben von ESET anders und sticht in erster Linie dadurch hervor, dass sie die Chiffrierungsschlüssel nicht speichert, weder lokal noch online. Normalerweise hat das Opfer in solchen Fällen keine Chance auf Wiederherstellung seiner verschlüsselten Dateien, doch die Forscher haben laut eigenen Angaben einen Defekt entdeckt, der die Situation wieder ins Lot bringen könnte. In der Windows-Version des Schädlings KillDisk ist dieser Fehler aber leider nicht vorhanden.

Dateien auf Windows-Maschinen verschlüsselt KillDisk mit einem 256-Bit AES-Schlüssel (der für jede Datei individuell erstellt wird), woraufhin der AES-Schlüssel mit einem öffentlichen hartkodierten 1024-RSA Schlüssel chiffriert wird. Der private RSA-Schlüssel wird auf dem Server der Cyberkriminellen gespeichert und ermöglicht es ihnen, die Dateien nach Zahlung des Lösegeldes (in Höhe von 222 Bitcoin) zu dechiffrieren. Die dechiffrierten Schlüssel sendet der Schädling unter Verwendung des Telegram-Protokolls an seinen eigenen Server – aus diesem Grund haben die Experten die Autoren der KillDisk-Kampagne auf den Namen „TeleBots-Guppe“ getauft.

Die Linux-Version des Kryptoblockers KillDisk benutzt diesen Kommunikationskanal mit dem C&C nicht und verwendet zudem einen anderen Verschlüsselungsalgorithmus. Die Journalisten von Bleeping Computer zitieren die Forscher wie folgt: In diesem Fall „werden die Dateien mit Hilfe von Triple-DES verschlüsselt, die auf eine Blockgröße von 4096 Byte anwendbar sind“, wobei „jede Datei mit einem eigenen Set von 64-Bit-Schlüsseln codiert wird.“

Bei der Suche nach Dateien, die verschlüsselt werden sollen, operiert der Linux-Erpresser mit einer Liste von Ordner des Rootverzeichnisses (/boot, /bin, /lib/security, /share, /media, /usr, /tmp, /root usw.), die bis zu 17 Positionen enthalten kann. Den verschlüsselten Dateien wird der Marker DoN0t0uch7h!$CrYpteDfilE hinzugefügt.

Auch die Lösegeldforderung zeigt die neue KillDisk-Variante auf ungewöhnliche Weise an, und zwar unter Verwendung des Bootloaders GRUB. Zu diesem Zweck überschreibt der Schädling den Bootsektor, so dass das infizierte System nach einem Neustart nicht mehr geladen wird. Der Text der Lösegeldforderung stimmt laut Aussage der Experten mit dem Text überein, der von der entsprechenden Windows-Version des Erpressers angezeigt wird, bis hin zu der zu zahlenden Summe, der Bitcoin-Wallet und der Kontakt-E-Mail.

Früher wurde KillDisk ausschließlich als destruktive Komponente eines Angriffs verwendet, der zum Zwecke der Spionage oder Cybersabotage durchgeführt wurde. Der Schädling löschte wichtige Systemdateien, tauschte Datendateien aus, überschrieb Dateien bestimmter Typen und half den Angreifern so dabei, den Computer effektiv außer Gefecht zu setzen und die Einbruchsspuren anderer Schadprogramme zu verwischen. Der Autor des Berichts auf Bleeping Computer nimmt an, dass die Kryptoblocker-Funktionen in KillDisk umgesetzt wurden, um Angriffe zu verschleiern: Wenn das Opfer sich darum sorgt, wichtige Dateien zu verlieren, wird es kaum nach Hinweisen suchen, die auf das Eindringen anderer Schädlinge hindeuten.

Quelle: Bleeping Computer

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.