El malware extorsionador KillDisk ahora apunta a Linux

Bleeping Computer informa que los investigadores de la compañía ESET descubrieron una variante del flamante malware bloqueador KillDisk orientado a la plataforma Linux. Esta versión tiene un error que posibilitaría la restauración de los archivos cifrados.

Este malware adquirió funciones adicionales que le permiten cifrar los archivos de la víctima hace poco tiempo, pero los analíticos de CyberX que descubrieron esta novedad la habían observado en acción solo en el sistema operativo Windows. La versión para Linux, según ESET, funciona de otra manera y su principal diferencia es que no guarda las llaves de cifrado de forma local, ni en Internet. En situaciones como ésta, la víctima no suele tener posibilidades de recuperar los archivos cifrados, pero los investigadores afirman haber encontrado cierto defecto que permitiría salvar la situación. La versión del bloqueador KillDisk para Windows no tiene esta posibilidad, lamentablemente.

En los equipos con Windows, KillDisk cifra los archivos con una llave AES de 256 bits (que se crea para cada uno de los archivos), y su par luego se cifra con una llave RSA abierta de 1024 bits, especificada en el código. La llave RSA secreta se guarda en el servidor de los delincuentes y les permite descifrar los archivos, después de recibir el rescate de 222 bitcoins. El malware envía las llaves a su servidor por medio del API de Telegram. Por esta razón, los expertos apodaron a los autores de la campaña KillDisk como “el grupo TeleBots”.

La versión del bloqueador KillDisk para Linux no usa este canal para sus comunicaciones con el servidor de administración y utiliza otro algoritmo de cifrado. Como escribe el reportero de Bleeping Computer, citando a los investigadores, en este caso “los archivos se cifran mediante Triple-DES, ejecutado en bloques de archivo de 4096 bits”, y al mismo tiempo “cada archivo se cifra con su propio conjunto de llaves de 64 bits”.

Al buscar qué archivos cifrar, el extorsionador para Linux usa una lista de carpetas de raiz (/boot, /bin, /lib/security, /share, /media, /usr, /tmp, /root, etc.) que pueden contener hasta 17 subcarpetas. A los ficheros cifrados se les añade el marcador DoN0t0uch7h!$CrYpteDfilE.

KillDisk también tiene una forma original de mostrar la exigencia de rescate, mediante el gestor de arranque GRUB. Para hacerlo, el malware sobreescribe el sector de arranque y después del reinicio del equipo, el sistema operativo ya no puede cargarse. El texto del mensaje de rescate, según los expertos, es idéntico al mostrado en la versión para Windows, hasta en el monto del rescate, el monedero Bitcoin y la dirección de correo electrónico de contacto.

Antes, KillDisk se usaba exclusivamente como elemento destructivo de ataque, que se llevaba a cabo con objetivos de espionaje o sabotaje cibernético. Eliminaba archivos importantes del sistema, sustituía archivos de datos, copiaba los archivos de ciertos tipos, para ayudar al atacante a dejar el equipo fuera de servicio y eliminar los rastros de la infección de otros programas maliciosos. El autor del artículo publicado en Bleeping Computer considera que las funciones del bloqueador podrían haberse implementado en KillDisk con el mismo propósito, disimular el ataque: al estar preocupada por haber perdido sus archivos importantes, es poco probable que la víctima se ponga a buscar signos de otras intrusiones.

Fuentes: Bleepingcomputer