A Linux sem jelent akadályt a brutális KillDisk vírusnak

A számítógépeken nagyon komoly károkozásra képes KillDisk program már Linux alatt is támad. 250 ezer dollárt követel az áldozataitól.
 
hirdetés
A KillDisk malware akkor szerzett magának ismertséget, amikor 2015 telén szerepet kapott az ukrajnai energetikai szektort ért támadássorozatban, majd pénzügyi intézmények rendszerei felé vette az irányt. Mivel a kritikus infrastruktúrák ostromlásától sem riad vissza, ezért a biztonsági cégek kiemelten figyelik a fejlődését. Többek között az ESET is, amelynek legújabb kutatása arra világított rá, hogy a károkozó immár linuxos környezetekben is elemében érzi magát.
 
A KillDisk első variánsai kifejezetten rombolási célokat szolgáltak. A fertőzött számítógépen törölték a merevlemezt, és vele együtt az operációs rendszert. Így a fertőzött gépek használhatatlanná váltak. Aztán a kártevő nem sokkal később kibővült egy olyan összetevővel, amely fájltitkosításra is alkalmas volt, és nagyon hasonlóan kezdett működni, mint a zsaroló programok. Szolgáltatásként regisztrálta magát a számítógépeken, különféle folyamatokat állított le, és állományokat kompromittált. Az ESET szerint ez a variáns juthatott szerephez az ukrán bankok elleni akciókban is.
 
Nem kispályáznak
 
A KillDisk terjesztői célzott támadásokat hajtanak végre, általában jelentős célpontok ellen. Ennek megfelelően az általuk követelt váltságdíj elérheti a 250 ezer dollárt. Összehasonlításképpen egy "átlagos" ransomware általában 300-1000 dollárt követel az áldozatától azért, hogy a lerombolt fájlok helyreállíthatóvá váljanak.
 
Az ESET biztonsági hálóin egy újabb KillDisk variáns akadt fent, amelynek legfontosabb jellemzője, hogy a Linux operációs rendszerrel kompatibilis. Amikor felkerül egy Linux alapú szerverre vagy munkaállomásra, akkor azon nekilát a fájlok titkosításához. A könyvtárstruktúrát 17 szint mélységig járja be, és minden fájlt kódol Triple-DES eljárások bevonásával. Fontos jellemzője, hogy minden egyes állomány titkosításához más-más, véletlenszerűen generált kulcsot használ. Amint végez a tevékenységével, akkor manipulálja a GRUB-ot, és ezzel a rendszer újraindítása után megakadályozhatja a Linux betöltődését. Ellenben a váltságdíjra vonatkozó üzeneteit meg tudja jeleníteni.


Forrás: ESET
 
Felmerülhet a kérdés, hogy ha a károkozó minden fájlt különböző kulccsal titkosít, akkor a váltságdíj kifizetése miként segíthet a károk felszámolásában. Az ESET szerint sehogy, annál is inkább, mivel a KillDisk jelenlegi variánsa a kompromittált PC-kre nyilván nem menti le a dekódoláshoz szükséges kulcsokat, de azokat nem is tölti fel vezérlőszerverekre. Vagyis a támadók számára nem állnak rendelkezésre azok az információk, amikért pénzt követelnek. Így aztán már csak ezért sem célszerű fizetni nekik.
 
A biztonsági cég állaspontja, hogy ez esetben is a megelőzésre kell helyezni a hangsúlyt. A korszerű védelmi eszközök alkalmazása mellett fontos az alkalmazottak oktatása, a rendszerek naprakészen tartása, a biztonsági mentések készítése, és nem utolsó sorban az incidensekre való felkészülés. 
Vélemények
 
  1. 4

    A Cisco magas és kritikus veszélyességi besorolású sebezhetőségeket szüntetett meg az IOS/IOS XE esetében.

  2. 3

    A Samba egy biztonsági frissítéssel gyarapodott.

  3. 1

    Az Actoin trójai hátsó kapuk kiépítésében segíti a támadókat, akiknek minden parancsát teljesíti.

 
Partnerhírek
Vault 7: Semmi sincs biztonságban?

A Wikileaks megszellőztette CIA dokumentumok azt támasszák alá, amit a biztonsági szakemberek régóta gyanítottak: a titkosszolgálatok saját kibertámadási eszközöket fejlesztenek, hogy céljaikat elérhessék.

Hiba vagy beépített funkció?

Beépített parancssorok segítségével a helyi adminisztrátor átveheti az ellenőrzést egy másik felhasználó Windows fiókja felett, úgy, hogy még a jelszavát sem kell tudnia. ​A Microsoft álláspontja szerint ez nem biztonsági hiba.

hirdetés
Közösség
1