Infos

Le ransomware KillDisk vise Linux

Bleeping Computer nous apprend que des chercheurs de l’ESET on découvert une nouvelle version du ransomware KillDisk qui vise Linux. Il semblerait que la version en question contient une erreur qui ouvre la possibilité de restaurer les fichiers chiffrés.

Ce n’est que tout récemment que ce malware a été enrichi d’une fonction qui permet de chiffrer des fichiers et d’exiger une rançon, toutefois les analystes de chez CyberX, à l’origine de la découverte de cette nouveauté, ne l’avaient observée que dans un environnement Windows. La version Linux de ce malware, d’après ESET, fonctionne différemment et se distingue principalement par le fait qu’elle ne conserve pas les clés de chiffrement, localement ou en ligne. Normalement, dans ce genre de configuration, la victime n’a aucune chance de récupérer ses fichiers chiffrés, mais dans le cas qui nous occupe, les chercheurs affirment avoir découvert un petit défaut qui permettrait de corriger la situation. Malheureusement, cette faille n’existe pas dans la version Windows du ransomware.

KillDisk chiffre les fichiers sur les ordinateurs Windows à l’aide d’une clé AES de 256 bits (créée à nouveau pour chaque fichier) et celle-ci est ensuite chiffrée à l’aide d’une clé RSA publique de 1024 bits, inscrite dans le code. La clé RSA privée est conservée sur le serveur des individus malintentionnés et ils peuvent ainsi déchiffrer les fichiers après le versement de la rançon (222 bitcoins). Le malware envoie les clés chiffrées à son serveur via l’API Telegram. C’est la raison pour laquelle les experts ont baptisé les auteurs de la campagne KillDisk « groupe TeleBots ».

La version Linux du ransomware KillDisk n’exploite pas ce canal de communication avec le serveur de commande et applique un autre algorithme de chiffrement. Comme l’écrit le journaliste de Bleeping Computer, qui cite les chercheurs, « les fichiers, dans ce cas-ci, sont chiffrés à l’aide de Triple-DES, appliqué à des blocs de 4096 bits du fichier » et « chaque fichier est chiffré par sa propre sélection de clés de 64 bits ».

Le ransomware Linux base sa recherche des fichiers à chiffrer sur la liste des dossiers du répertoire racine (/boot, /bin, /lib/security, /share, /media, /usr, /tmp, /root, etc.), qui peut contenir jusqu’à 17 positions. DoN0t0uch7h!$CrYpteDfilE est ajouté aux fichiers chiffrés.

L’affichage de la demande de rançon de cette nouvelle version de KillDisk est également inhabituel : il fait intervenir le chargeur GRUB. Pour ce faire, le malware écrase le secteur d’amorçage et une fois relancé, le système infecté arrête de se charger. D’après les experts, le texte de la demande de rançon est identique à celui affiché par la version Windows du ransomware, y compris le montant, l’adresse du portefeuille bitcoins et l’adresse email de contact.

Jusqu’à présent, KillDisk avait été utilisé exclusivement comme module destructeur dans des campagnes de cyberespionnage ou cybersabotage. Il supprimait des fichiers système importants, substituait des fichiers de données, écrasait les fichiers de certains types et permettait ainsi aux agresseurs de mettre l’ordinateur hors-service et d’éliminer les traces de la présence d’autres malwares. L’auteur du billet publié sur Bleeping Computer estime que la fonction de ransomware a peut être été mise en œuvre dans KillDisk dans un but identique; à savoir, masquer les attaques : perturbée par la perte de fichiers important, la victime de l’infection ne cherchera vraisemblablement pas des signes d’autres attaques.

Fonte: Bleepingcomputer

Le ransomware KillDisk vise Linux

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception