Le malware KillDisk, qui avait servi à paralyser un réseau électrique en Ukraine en 2015,

évolue en ransomware Windows et Linux

Après l’attaque qui a paralysé un réseau électrique en Ukraine en 2015 pendant plusieurs heures, des spécialistes en sécurité se sont lancés dans l’analyse du code du logiciel malveillant. D’après l'ESET, les pirates ont utilisé un logiciel baptisé BlackEnergy afin d'introduire le logiciel malveillant, KillDisk, contenant « des fonctionnalités permettant de nuire à des systèmes industriels » dans le système électrique. Un mois avant cela, KillDisk avait également été employé contre une importante agence de presse ukrainienne. D’ailleurs, selon les chercheurs d’ESET, Killdisk a aussi été utilisé dans d'autres attaques contre plusieurs cibles dans le transport maritime. Les outils avec lesquels il pouvait être utilisé ont également évolué : par exemple, en décembre, les attaquants se sont servis des portes dérobées Meterpreter et se sont servis d’autres outils pour la communication C&C, abandonnant l'API Telegram..

Le développement du logiciel malveillant KillDisk a désormais pris un autre virage en se rangeant cette fois-ci du côté des malware. Cette nouvelle variante du logiciel malveillant, qui était déjà utilisé pour détruire et altérer des fichiers pris au hasard, « rend les machines Linux impossibles à booter, après avoir chiffré des fichiers et demandé une grande rançon ». Pour être plus précis, cette variante dispose d’une version Windows et d’une version Linux, « ce qui est sans aucun doute quelque chose que nous ne voyons pas tous les jours ».

Les chercheurs d’ESET expliquent qu’après avoir chiffré les fichiers, le ransomware lance un « nous sommes désolés » très provocateur et demande aux victimes de payer une rançon de 222 Bitcoin (soit 190 810 euros à l’heure de la rédaction). Que ce soit sur Linux ou sur Windows, le message est exactement le même.

La variante Windows, que les chercheurs d’ESET ont détecté comme étant Win32/KillDisk.NBK et Win32/KillDisk.NBL, chiffre les fichiers en AES (avec une clé de chiffrement de 256 bits générée par CryptGenRandom) et la clé AES symétrique est ensuite chiffrée à l'aide de RSA en 1024 bits. Afin de ne pas chiffrer deux fois les mêmes fichiers, le malware ajoute le marqueur suivant à la fin de chaque fichier chiffré : DoN0t0uch7h! $ CrYpteDfilE.

La variante Linux repérée par les chercheurs d'ESET est différente de la variante Windows. Concernant le chiffrement, les chercheurs ont évoqué un cryptage des fichiers à l'aide du système Triple-DES appliqué aux blocs de fichiers de 4096 octets, et un chiffrement de chaque fichier à l'aide d'un ensemble différent de clés de chiffrement 64 bits.

La variante Linux cible les dossiers suivants, à une profondeur de 17 sous-dossiers, chiffrant tous les fichiers et ajoutant le même marqueur que sur Windows : DoN0t0uch7h! $ CrYpteDfilE

Les chercheurs ont souligné « le fait de payer la rançon demandée pour la récupération des fichiers chiffrés est une perte de temps et d'argent. Les clés de chiffrement générées sur l'hôte affecté ne sont ni sauvegardées localement ni envoyées à un serveur C&C. En clair, les cybercriminels derrière cette variante de KillDisk ne peuvent pas fournir à leurs victimes les clés de déchiffrement pour récupérer leurs fichiers, malgré le fait que ces victimes paient la somme extrêmement élevée demandée par cette rançon ».

Dans l’analyse du code, les chercheurs ont trouvé une faiblesse dans le chiffrement employé sur la version Linux et qui permet donc de procéder au déchiffrement, « bien que ce soit quand même difficile ». Malheureusement, cette méthode n’est pas applicable à la version Windows du ransomware.

Source : ESET