Le malware Killdisk évolue en ransomware. Ne payez pas !
Killdisk est maintenant capable de crypter des fichiers sur les systèmes Windows et Linux. La menace est réelle. Mais n’allez pas jusqu’à payer, conseille ESET.
Le malware s’est transformé en ransomware. Killdisk, qui a été très actif ces deux années avec des attaques conduisant à l’effacement de données sur des ordinateurs, refait parler de lui sous forme de ransomware. La somme exigée est coquette : 222 bitcoins (216.000 USD) pour restaurer. Mais ne vous laissez par impressionner, prévient ESET. Le système a des failles…
Killdisk a déjà fait des ravages. Au cours de l’hiver 2015, il avait été utilisé comme module de Black Energy pour attaquer plusieurs centrales électriques ukrainiennes. On l’a vu, ensuite, opérer contre une importante agence de presse ukrainienne. Puis dans d’autres attaques contre plusieurs cibles dans le transport maritime, notamment.
Depuis, le malware a évolué pour devenir redoutable. D’abord, son champ d’action, initialement centré sur Windows, a été étendu à Linux. Ensuite, la routine de chiffrement et les algorithmes ont été modifiés. Qui plus est, les clefs de chiffrement ne sont ni enregistrées localement ni envoyés à un serveur de commande et de contrôle… «Les cybercriminels derrière cette variante de ne peuvent pas fournir à leurs victimes les clefs de décryptage pour récupérer leurs fichiers, et ce même si les victimes paient, donc restez prudents mais ne payez pas !», soulignent les chercheurs d’ESET. Lesquels ont détecté la présence d’une faiblesse dans le mécanisme de cryptage de la version Linux qui permet à la victime de récupérer -difficilement- ses fichiers, ce qui était impossible avec la version Windows.
On ne sait pas pourquoi les créateurs de Killdisk ont ajouté cette fonctionnalité de cryptage. Ils semblent toujours viser le même objectif que dans le passé -la destruction de données. Avec cette tactique de ransomware, ils pourraient également gagner beaucoup d’argent.
Le chiffrement opéré par Killdisk laisse peu de place à une solution technique : chaque fichier est chiffré avec sa propre clé AES, chaque clé étant ensuite chiffrée avec une clé publique RSA-1028.
Pour autant, on parle ici d’une menace qui a très peu de chance d’affecter le grand public, insiste encore ESET. Elle permet cependant de garder un œil sur l’évolution des techniques utilisées par les groupes de pirates dans des attaques minutieusement préparées.
Début janvier 2016, ESET avait alerté sur la reprise d’activité de ce malware. Depuis, le groupe TeleBots -à l’origine de Killdisk- semble avoir décidé de délaisser les systèmes industriels au profit de cibles bien plus rentables : des entreprises du secteur des services financiers. ESET estime que le groupe opère toujours dans une approche de cyber-sabotage. L’éditeur relève également quelques innovations, comme l’utilisation d’une boîte aux lettres outlook.com comme moyen de communication et de contrôle par les opérateurs du logiciel malveillant, ou encore celle de l’API pour automates de Telegram. Et leur trousse à outil s’avère assez étoffée, entre modules de vol de mots de passe (y compris sur le trafic réseau) et de reconnaissance de l’infrastructure via l’annuaire, notamment.