KillDisk, cuando la amenaza es regional

Josep Verdura - Analista de Seguridad de Vintegris

Josep Verdura – Analista de Seguridad de Vintegris

Nos encontramos con una nueva variante de KillDisk, que borra el disco y que apunta a organizaciones financieras en América Latina.

TROJ_KILLDISK.IUB es el nombre asociado a esta nueva amenaza. El análisis inicial (que todavía está en curso) revela que puede ser un componente de otra carga útil, o parte de un ataque más grande. Todavía estamos analizando esta nueva variante de KillDisk , iremos informando a medida que se conozcan más detalles sobre esta amenaza.

KillDisk, junto con BlackEnergy , es un ataque de fines múltiples y relacionado con el ciberespionaje, se utilizó en los ataques cibernéticos a finales de diciembre de 2015 contra el sector energético de Ucrania y sus industrias bancarias , ferroviarias y mineras .

Desde entonces, el malware se ha transformado en una amenaza utilizada para la extorsión digital, que afecta a las plataformas de Windows y Linux .

La nota que acompaña a las versiones de ransomware, como en el caso de Petya , era una artimaña: como KillDisk también sobrescribe y elimina archivos (y no almacena las claves de cifrado en el disco ni en línea), recuperar los archivos codificados no es posible. La nueva variante que encontramos, sin embargo, no incluye una nota de rescate.

¿Cómo cae el sistema?

Parece que esta variante de KillDisk es lanzada intencionalmente por otro proceso / atacante.

La ruta del archivo está codificada en el malware ( c: \ windows \ dimens.exe ), lo que significa que está estrechamente relacionado con su instalador o es parte de un paquete más grande.

KillDisk también tiene un proceso de autodestrucción, aunque en realidad no se está eliminando. Cambia el nombre de su archivo a c: \ windows \ 0123456789 mientras se ejecuta. Espera que su ruta de archivo sea ​​c: \ windows \ dimens.exe (también codificada). En consecuencia, si se realiza análisis forense de disco y se busca dimens.exe , el archivo que se recuperará será el archivo recién creado con contenido de 0x00 bytes.

¿Cómo eliminan los archivos?

Esta nueva variante de KillDisk pasa por todas las unidades lógicas (fijas y extraíbles) que comienzan en la unidad b:. Si la unidad lógica contiene el directorio del sistema, los archivos y carpetas en los siguientes directorios y subdirectorios estarán exentos de eliminación:

WINNT

Usuarios

Windows

Archivos de programa

Archivos de programa (x86)

ProgramData

Recuperación (verificación de mayúsculas y minúsculas)

$ Recycle.Bin

Información del Volumen del Sistema

antiguo

PerfLogs

 

Por Josep Verdura – Analista de Seguridad de Vintegris