Le ransomware KillDisk vise Linux

Bleeping Computer nous apprend que des chercheurs de l’ESET on découvert une nouvelle version du ransomware KillDisk qui vise Linux. Il semblerait que la version en question contient une erreur qui ouvre la possibilité de restaurer les fichiers chiffrés.

Ce n’est que tout récemment que ce malware a été enrichi d’une fonction qui permet de chiffrer des fichiers et d’exiger une rançon, toutefois les analystes de chez CyberX, à l’origine de la découverte de cette nouveauté, ne l’avaient observée que dans un environnement Windows. La version Linux de ce malware, d’après ESET, fonctionne différemment et se distingue principalement par le fait qu’elle ne conserve pas les clés de chiffrement, localement ou en ligne. Normalement, dans ce genre de configuration, la victime n’a aucune chance de récupérer ses fichiers chiffrés, mais dans le cas qui nous occupe, les chercheurs affirment avoir découvert un petit défaut qui permettrait de corriger la situation. Malheureusement, cette faille n’existe pas dans la version Windows du ransomware.

KillDisk chiffre les fichiers sur les ordinateurs Windows à l’aide d’une clé AES de 256 bits (créée à nouveau pour chaque fichier) et celle-ci est ensuite chiffrée à l’aide d’une clé RSA publique de 1024 bits, inscrite dans le code. La clé RSA privée est conservée sur le serveur des individus malintentionnés et ils peuvent ainsi déchiffrer les fichiers après le versement de la rançon (222 bitcoins). Le malware envoie les clés chiffrées à son serveur via l’API Telegram. C’est la raison pour laquelle les experts ont baptisé les auteurs de la campagne KillDisk « groupe TeleBots ».

La version Linux du ransomware KillDisk n’exploite pas ce canal de communication avec le serveur de commande et applique un autre algorithme de chiffrement. Comme l’écrit le journaliste de Bleeping Computer, qui cite les chercheurs, « les fichiers, dans ce cas-ci, sont chiffrés à l’aide de Triple-DES, appliqué à des blocs de 4096 bits du fichier » et « chaque fichier est chiffré par sa propre sélection de clés de 64 bits ».

Le ransomware Linux base sa recherche des fichiers à chiffrer sur la liste des dossiers du répertoire racine (/boot, /bin, /lib/security, /share, /media, /usr, /tmp, /root, etc.), qui peut contenir jusqu’à 17 positions. DoN0t0uch7h!$CrYpteDfilE est ajouté aux fichiers chiffrés.

L’affichage de la demande de rançon de cette nouvelle version de KillDisk est également inhabituel : il fait intervenir le chargeur GRUB. Pour ce faire, le malware écrase le secteur d’amorçage et une fois relancé, le système infecté arrête de se charger. D’après les experts, le texte de la demande de rançon est identique à celui affiché par la version Windows du ransomware, y compris le montant, l’adresse du portefeuille bitcoins et l’adresse email de contact.

Jusqu’à présent, KillDisk avait été utilisé exclusivement comme module destructeur dans des campagnes de cyberespionnage ou cybersabotage. Il supprimait des fichiers système importants, substituait des fichiers de données, écrasait les fichiers de certains types et permettait ainsi aux agresseurs de mettre l’ordinateur hors-service et d’éliminer les traces de la présence d’autres malwares. L’auteur du billet publié sur Bleeping Computer estime que la fonction de ransomware a peut être été mise en œuvre dans KillDisk dans un but identique; à savoir, masquer les attaques : perturbée par la perte de fichiers important, la victime de l’infection ne cherchera vraisemblablement pas des signes d’autres attaques.

Fonte: Bleepingcomputer

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *