A Linux sem jelent akadályt a brutális KillDisk vírusnak

A számítógépeken nagyon komoly károkozásra képes KillDisk program már Linux alatt is támad. 250 ezer dollárt követel az áldozataitól.
 
hirdetés
A KillDisk malware akkor szerzett magának ismertséget, amikor 2015 telén szerepet kapott az ukrajnai energetikai szektort ért támadássorozatban, majd pénzügyi intézmények rendszerei felé vette az irányt. Mivel a kritikus infrastruktúrák ostromlásától sem riad vissza, ezért a biztonsági cégek kiemelten figyelik a fejlődését. Többek között az ESET is, amelynek legújabb kutatása arra világított rá, hogy a károkozó immár linuxos környezetekben is elemében érzi magát.
 
A KillDisk első variánsai kifejezetten rombolási célokat szolgáltak. A fertőzött számítógépen törölték a merevlemezt, és vele együtt az operációs rendszert. Így a fertőzött gépek használhatatlanná váltak. Aztán a kártevő nem sokkal később kibővült egy olyan összetevővel, amely fájltitkosításra is alkalmas volt, és nagyon hasonlóan kezdett működni, mint a zsaroló programok. Szolgáltatásként regisztrálta magát a számítógépeken, különféle folyamatokat állított le, és állományokat kompromittált. Az ESET szerint ez a variáns juthatott szerephez az ukrán bankok elleni akciókban is.
 
Nem kispályáznak
 
A KillDisk terjesztői célzott támadásokat hajtanak végre, általában jelentős célpontok ellen. Ennek megfelelően az általuk követelt váltságdíj elérheti a 250 ezer dollárt. Összehasonlításképpen egy "átlagos" ransomware általában 300-1000 dollárt követel az áldozatától azért, hogy a lerombolt fájlok helyreállíthatóvá váljanak.
 
Az ESET biztonsági hálóin egy újabb KillDisk variáns akadt fent, amelynek legfontosabb jellemzője, hogy a Linux operációs rendszerrel kompatibilis. Amikor felkerül egy Linux alapú szerverre vagy munkaállomásra, akkor azon nekilát a fájlok titkosításához. A könyvtárstruktúrát 17 szint mélységig járja be, és minden fájlt kódol Triple-DES eljárások bevonásával. Fontos jellemzője, hogy minden egyes állomány titkosításához más-más, véletlenszerűen generált kulcsot használ. Amint végez a tevékenységével, akkor manipulálja a GRUB-ot, és ezzel a rendszer újraindítása után megakadályozhatja a Linux betöltődését. Ellenben a váltságdíjra vonatkozó üzeneteit meg tudja jeleníteni.


Forrás: ESET
 
Felmerülhet a kérdés, hogy ha a károkozó minden fájlt különböző kulccsal titkosít, akkor a váltságdíj kifizetése miként segíthet a károk felszámolásában. Az ESET szerint sehogy, annál is inkább, mivel a KillDisk jelenlegi variánsa a kompromittált PC-kre nyilván nem menti le a dekódoláshoz szükséges kulcsokat, de azokat nem is tölti fel vezérlőszerverekre. Vagyis a támadók számára nem állnak rendelkezésre azok az információk, amikért pénzt követelnek. Így aztán már csak ezért sem célszerű fizetni nekik.
 
A biztonsági cég állaspontja, hogy ez esetben is a megelőzésre kell helyezni a hangsúlyt. A korszerű védelmi eszközök alkalmazása mellett fontos az alkalmazottak oktatása, a rendszerek naprakészen tartása, a biztonsági mentések készítése, és nem utolsó sorban az incidensekre való felkészülés. 
Vélemények
 
  1. 4

    A Trend Micro számos biztonsági hibáról számolt be.

  2. 3

    A Xen egy memóriakezelési rendellenesség következtében válaszképtelenné válhat.

  3. 4

    Az OpenSSL komolyabb kockázatok felvető sebezhetőség miatt szorul frissítésre.

 
Partnerhírek
​Flash Player frissítésnek álcázott androidos trójai

Az ESET szakemberei felfedeztek egy androidos eszközöket támadó veszélyes alkalmazást. Az Agent.JI trójai program feltört weboldalakon keresztül, Flash Player frissítésnek álcázva terjed.

Az ESET elnyerte a 100. Virus Bulletin díjat

Az ESET elnyerte a 100. Virus Bulletin díjat a NOD32 termékkel. Ennyi VB100-at egyetlen másik termék sem kapott még a minősítő szervezettől.

hirdetés
Közösség
1