KillDisk هم اکنون سیستم های لینوکسی را هدف قرار داده است: 250000دلار باج می خواهد اما پس از دریافت باج، قادر به رمزگشایی نیست!
محققان ESET در اواخر سال ۲۰۱۵ و سال ۲۰۱۶ نوع دیگری از بدافزار لینکوسی KillDisk را کشف کرده اند که اقدام به حملاتی بر علیه زیرساختهای حیاتی کشور اکراین و اهدافی در بخش مالی کردند. این نوع جدید، سیستمهای لینکوس غیر قابل بوت را، بعد از رمزنگاری فایلها و درخواست باج زیادی، رندر می کند. حتی اگر قربانیان پول زیادی پرداخت کنند، احتمال اینکه مهاجمان فایل ها را رمزگشایی کنند بسیار کم است!
KillDisk – از پاک کردن تا رمزنگاری
نرم افزار مخرب KillDisk به عنوان جزیی از حملات موفق اجرا شده توسط گروه بلک انرژی علیه شبکه برق اکراین در دسامبر 2015و حملاتی علیه یکی از خبرگزاری های اصلی این کشور در نوامبر 2015، شناخته شده است.
ESET اعلام کرد اخیرا، ما حملات سایبری خرابکارانه ای با استفاده از KillDisk علیه اهدافی در بخش مالی اکراین در دسامبر 2016 را کشف نمودیم. در آن زمان، گروهی که ما به آنها لقب TeleBot ها دادیم مجموعه ابزارهای متفاوتی را بکار گرفته بودند مثل سوء استفاده از اپلیکشن محبوب تلگرام!
کمپین های حمله KillDisk سراسر دسامبر با دستیابی به اهدافی در بخش حمل و نقل هوایی اکراین ادامه پیدا کرد. مجموعه ابزار حمله تکامل یافته شده اند، همچنین درحال حاضر مهاجمان از بک دُرهای Meterpreter و ارتباط دیگر C&C از طریق API تلگرام برای انتقال بهره می گیرند.. درحالیکه ششمین نوع KillDisk در دسامبر واقعا هنرمندانه بود و صفحه ای با اشاره به Mr. Robot مشهور در تلویزیون، نمایش می داد.
انواع اخیر ویژگی شومتری اضافه کرده اند، باج افزار رمزنگاری فایل. پیغام باج با “we are so sorry…” آغاز می شود و از قربانی مبلغ فوق العاده زیادی باج حدود 222 بیت کوینز تقریبا معادل 250000دلار برای بازگردانی فایل رمزنگاری شده درخواست می کنند.
این مدل اخیر باج افزار KillDisk نه تنها سیستم های ویندوزی، بلکه سیستم های لینوکسی را هم هدف قرار می دهد. این چیزی است که قطعا همیشه با آن روبرو نمی شویم. این باج افزار فقط در برگیرنده ایستگاههای کاری لینوکس نیست بلکه سرورها را هم تحت تاثیر قرار می دهد که پتانسیل آسیب را تقویت می کند.
نوع ویندوزی، که توسط ESET با عنوان Win32/KillDisk.NBK و Win32/KillDisk.NBL شناسایی شد فایل ها را با AES رمزنگاری می کند (کلید رمزنگاری 256 بیتی تولید شده با استفاده از CryptGenRandom) و کلید متقارن AES که با استفاده از RSA 1024 بیتی رمزنگاری شده است. به منظور عدم رمزنگاری دوباره فایل ها، بدافزار نشانه زیر را در انتهای هر فایل رمزشده اضافه می کند : DoN0t0uch7h!$CrYpteDfilE
در هر دو نوع ویندوزی و لینوکسی پیغام باج افزار دقیقا مشابه یکدیگرند که شامل 222بیت کوینز، آدرس بیت کوین و ایمیل است.
آنالیز فنیLinux/KillDisk.A
درحالیکه جزییات باج برای هر دو پلت فرم یکسان است، اما بدیهی است که پیاده سازی فنی متفاوت است. پیغام باج با روشی غیر معمول دورن بوت لودر GRUB نمایش داده می شود. زمانی که نرم افزار مخرب اجرا می شود، ورودی های بوت لودر به منظور نمایش پیغام باج افزار دوباره نویسی می شوند.
روال رمزنگاری اصلی به طور بازگشتی فولدرهای زیر را درون دایرکتوری روت تا عمق 17 زیر شاخه طی می کند.
/boot
/bin
/sbin
/lib/security
/lib64/security
/usr/local/etc
/etc
/mnt
/share
/media
/home
/usr
/tmp
/opt
/var
/root
فایل ها با استفاده از Tripe-DES بکارگرفته شده در فایل بلاک های 4096 بایتی، رمزنگاری شده است. هر فایل با استفاده از مجموعه ها مختلفی از کلیدهای رمزنگاری 64بیتی رمزگذاری می شوند.
بعد از راه اندازی مجدد، سیستم آلوده شده غیرقابل بوت خواهد شد.
نکته مهم این است که پرداخت باج درخواستی برای بازگردانی، اتلاف زمان و هزینه است. کلیدهای رمزگذاری تولید شده روی هاست آلوده به صورت محلی ذخیره می شوند نه اینکه به سرور C&C ارسال شوند.
مجددا تاکید می کنیم که مجرمان سایبری نمی توانند فایل های قربانی را با استفاده از کلید های رمزگشایی موجود بازگردانند، با این وجود برخی قربانیان مبالغ زیاد درخواستی باج افزار را می پردازند.
علاوه بر این محققان ESET به ضعفی در رمزنگاری مورد استفاده در نوع لینوکسی باج افزار پی بردند که امکان بازیابی را هرچند دشوار فراهم می کند. ( توجه کنید که برای نوع ویندوزی بکار گرفته نشده است).
نتیجه گیری – چرا باج افزار؟
با نظارت بر حملات سایبری Black Energy و TeleBotها، تکامل جالبی از کامپوننت ساده اما مخرب KillDisk مشاهده شد. در طول این سال کمپین های حمله ای علیه اهداف مختلف در بخش های متفاوتی از جمله نهادهای دولتی و زیر ساختهای حیاتی و … کشف کردیم. گروه یا گروه های مهاجم پشت این عملیات به پلت فرم های مختلفی علاقمندند، چه کامپیوتر های ویندوزی کنترل شده با SCADA/ICS یا ایستگاههای کاری در یک سازمان رسانه ای. با این توسعه اخیر، مهاجمان می توانند از KillDisk برای از بین بردن فایلهای سیستم های لینوکسی استفاده کنند. با این حال هیچگونه ارتباط هماهنگی بین این حملات مشخص نشده است و احتمالا تصادفی هستند.
علاوه بر این قابلیت اخیر باج افزار کمی غیرعادی بنظر می رسد، همانطور که حملات قبلی عملیات سایبری جاسوسی و خرابکارانه بودند. با توجه به بالا بودن مبلغ باج حدود 250000دلار در نتیجه به احتمال خیلی کمی قربانیان حاضر به پرداخت این مبلغ می شوند، علاوه بر این حقیقت این است که قربانیان هیچ راه حل کارآمدی برای رمزگشایی فایل ها ندارند، بنظر می رسد که این آخرین تلاش های آن ها باشد تا یک کمپین باج افزار واقعی!
به هرحال هنوز هم توصیه ما این است که مراقب باشید، چنانچه شما قربانی باج افزاری شدید تا زمانیکه آنها تضمینی مبنی بر بازگردانی اطلاعات شما نداند، هیچ باجی پرداخت نکنید. تنها روش امن در مقابل باج افزارها، پیشگیری است، آموزش، به روز نگه داشتن سیستم ها و وصله های نرم افزاری، استفاده از راه حل امنیتی قابل اطمینان، حفظ بک آپ ها و تست قابلیت بازگردانی موفق آنها، از جمله راهکارهای پیشگیرانه محسوب می شوند.
شاخص سازش (IoCs)
SHA1 file hashes
Win32/KillDisk.NBK trojan and Win32/KillDisk.NBL trojan:
2379A29B4C137AFB7C0FD80A58020F5E09716437
25074A17F5544B6F70BA3E66AB9B08ADF2702D41
95FC35948E0CE9171DFB0E972ADD2B5D03DC6938
B2E566C3CE8DA3C6D9B4DC2811D5D08729DC2900
84A2959B0AB36E1F4E3ABD61F378DC554684C9FC
92FE49F6A758492363215A58D62DF701AFB63F66
26633A02C56EA0DF49D35AA98F0FB538335F071C
Linux/KillDisk.A trojan:
8F43BDF6C2F926C160A65CBCDD4C4738A3745C0C
پیغام باج افزار:
We are so sorry, but the encryption
of your data has been successfully completed,
so you can lose your data or
pay 222 btc to 1Q94RXqr5WzyNh9Jn3YLDGeBoJhxJBigcF
with blockchain.info
contact e-mail:vuyrk568gou@lelantos.org