Malveru KillDisk koji briše disk, dodat ransomware

Opisi virusa, 30.12.2016, 06:00 AM

Malveru KillDisk koji briše disk, dodat ransomware

Familiji malvera koja je ranije korišćena za sabotažu brisanjem i prepisivanjem fajlova na računarima dodata je nova komponenta - ransomware, koji šifruje fajlove i zahteva od žrtava ogromnu otkupninu.

Sve do sada, malver KillDisk je bio povezivan samo sa sajber špijunažom, a većina špijunskih operacija u kojima je korišćen ovaj malver otkrivena je u industrijskom sektoru.

Grupa koja stoji iza ovog malvera je poznata pod imenima Sandworm i TeleBots.

Grupa Sandworm je poznata po svom malveru Sandworm koji je korišćen za napade i sabotažu industrijskih kontrolnih sistema (ICS) i SCADA (supervisory control and data acquisition) industrijskih uređaja u SAD 2014. godine.

Veruje se da je grupa kasnije evoluirala u grupu TeleBots koja je razvila backdoor trojanca TeleBots i KillDisk malver koji briše disk.

KillDisk je postao poznat u poslednje dve godine kada ga je koristila jedna druga grupa, BlackEnergy, koja se bavi sajber špijunažom i koja je koristila malver za sabotažu ukrajinskih kompanija koje posluju u oblasti energetike, rudarstva i medija.

Trenutno nije jasna veza grupe BlackEnergy, koju očigledno finansira neka država, i grupe TeleBots/Sandworm.

Ono što je poznato je da je TeleBots umešana u operacije sajber špijunaže koje su nanele veliku štetu nekolicini kompanija u svetu.

Najnoviji talas napada bio je onaj na ukrajinske banke. Ovim napadima inficirani su računari zaposlenih backdoor trojancem TeleBots preko malicioznih atačmenta. TeleBots je jedinstven po tome što koristi Telegram potokol za komunikaciju sa operaterima.

Kada prikupe podatke sa inficiranih sistema, kao što su lozinke i važni fajlovi, grupa TeleBots instalira komponentu KillDisk, koja briše važne sistemske fajlove, premešta fajlove, i prepisuje ekstenzije fajlova. Računar je posle toga nemoguće pokrenuti, a na ovaj način uljezi prikrivaju tragove.

U poslednjih nekoliko napada na ukrajinske banke, KillDisk je bio izmenjen tako da koristi Windows GDI (Graphics Device Interface) i crta sliku inspirisanu TV serijom "Gospodin Robot", prikazujući logo haktivističke grupe FSociety koja u jednom trenutku u seriji inficira mrežu eCorp banke ransomwareom. Sada to radi grupa TeleBots, sa ransomwareom KillDisk.

Razlog za to što će grupa lakše prikriti tragove ako se KillDisk predstavlja kao ransomware.

Cijevi napada će misliti da su pretrpeli infekciju ransomwareom, i neće tragati za backdoorom TeleBots ili nekim drugim malverom. Ciljevi će vratiti podatke iz backupa, ili će platiti otkupninu, ali će verovatno pokušati da izbegnu publicitet.

KillDisk na inficiranim računarima prikazuje obaveštenje o otkupnini koja je ogromna i iznosi 222 bitcoina, što je oko 215000 dolara.

Enkripcija malvera je veoma robusna, svaki fajl se šifruje svojim sopstvenim AES ključem, a zatim se AES ključ šifruje javnim RSA-1028 ključem.

Da bi otključale fajlove, žrtve moraju kontaktirati grupu TeleBots preko email adrese, platiti otkupninu, i tada će dobiti privatni RSA ključ koji dešifruje sve fajlove.

Visoka otkupnina u poređenju sa onom koju traže drugi ransomwarei je razumljiva jer je ovde reč o ciljanim napadima. Kod takvih napada, sajber kriminalci mogu pokušati da izvuku novac od žrtve tokom email prepiske, uz pretnju da će objaviti osetljive podatke koje je ukrao backdoor TeleBots.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Desetine hiljada WordPress sajtova zaraženo novim malverom Sign1

Malver „Sign1“ inficira WordPress veb sajtove, i preusmerava posetioce na prevare ili ih bombarduje reklamama, upozorili su istraživači ... Dalje

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kako je malver Inferno Drainer ukrao više od 80 miliona dolara od 136.000 korisnika kriptovaluta

Kao što privlači milione ljudi širom sveta, tako svet kriptovaluta privlači i sajber kriminalce koji pokušavaju da iskoriste neiskustvo i neznanj... Dalje

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Hakeri koriste grešku u Windows SmartScreen da prevare korisnike da preuzmu malver

Phemedrone je novi malver za krađu informacija koji inficira računare koristeći ranjivost Microsoft Defender SmartScreena (CVE-2023-36025). Phemedr... Dalje

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Nova varijanta zloglasnog Mirai botneta širi malver za rudarenje kriptovaluta

Istraživači sajber bezbednosti iz kompanije Akamai otkrili su novu verziju čuvenog botneta Mirai pod nazivom NoaBot, koja se koristi za distribucij... Dalje

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Malver MS Drainer ukrao 59 miliona dolara preko Google oglasa i oglasa na X-u

Istraživači bezbednosti otkrili su novu seriju napada „crypto drainer” malvera koji je do sada ukrao 59 miliona dolara žrtvama koje su ... Dalje