Schutzprogramme, Verschlüsselung & Datensicherheit

KillDisk Malware hat Linux im Visier

KillDisk Malware hat Linux im Visier
ESET-Forscher warnen vor KillDisk, Entschlüsselung Fehlanzeige

Die Sicherheitsforscher von ESET haben eine neue Variante der KillDisk Malware entdeckt, die auf Linux abzielt. Die berüchtigte KillDisk Malware soll schon bei Angriffen gegen kritische Infrastrukturen in der Ukraine im Jahr 2015 zum Einsatz gekommen sein. Die Daten infizierter Rechner werden verschlüsselt und es gibt auch eine Lösegeldforderung, die aber letztlich nicht mit einer Entschlüsselung belohnt wird.

KillDisk, eine destruktive Malware

Wie KillDisk arbeitet wurde auf  welivesecurity.com ausführlich dargelegt. Die sogenannte destruktive Malware wurde nach Angriffen der er BlackEnergy-Gruppe gegen das ukrainische Stromnetz im Dezember 2015 und eine der wichtigsten Nachrichtenagenturen des Landes im November 2015 bekannt. Auch der Finanzbranche wurde KillDisk bei Angriffen Anfang Dezember in der Ukraine eingesetzt.

Diese Angriffe sollen sich laut welivesecurity.com den ganzen Dezember über fortgesetzt haben. Unter den Zielen befand sich auch der ukrainische Seetransportsektor. Die Angreifer benutzen fortan Meterpreter Backdoors und die C&C-Kommunikation durchlief nicht länger die Telegram API.

Die Lösegeldforderung

Die Lösegeldforderung beginnt ironisch mit einem „Wir entschuldigen uns…“ und verlangt vom Opfer ein außergewöhnlich hohes Lösegeld von 222 Bitcoin. Umgerechnet sind das ca. 250.000 US$ zum Zeitpunkt der Erstellung dieses Textes.

Windows KillDisk Ransom Benachrichtigung, Bildquelle: welivesecurity.com
Windows KillDisk Ransom Benachrichtigung, Bildquelle: welivesecurity.com

Neu ist die Kompromittierung von Linux-Maschinen

Laut der Sicherheitsforscher von ESET ist die neue KillDisk Ransomware  nicht nur in der Lage Windows –Systeme anzugreifen, sie zielt auch auf Linux-Maschinen ab, eine nicht alltägliche Verhaltensweise, wie es dazu heißt. Angegriffen werden nicht nur Linux-Workstations, sondern auch Server, die das Schadenspotential noch verstärken können.

Die Windows Malware-Varianten, die von ESET als Win32 / KillDisk.NBK und Win32 / KillDisk.NBL erkannt werden, verschlüsseln Dateien mit AES (256-Bit-Verschlüsselungsschlüssel, der mit CryptGenRandom erzeugt wurde). Der symmetrische AES-Schlüssel wird dann 1024-Bit-RSA verschlüsselt. Um eine doppelte Verschlüsselung zu verhindern, fügt die Malware am Ende jeder verschlüsselten Datei die folgende Markierung hinzu: DoN0t0uch7h!$CrYpteDfilE.

Linux KillDisk Ransom GRUB-Bootloader Benachrichtigung, Bildquelle: welivesecurity.com
Linux KillDisk Ransom GRUB-Bootloader Benachrichtigung, Bildquelle: welivesecurity.com

Im Rahmen der technischen Analyse der Linux/KillDisk.A wird deutlich, dass zwar die Höhe der Lösegeldforderung identisch ist. Dennoch unterscheidet sich die KillDisk Ransomware in ihrer Umsetzung je nach Betriebssystem. Bei Linux wird die Verschlüsselungsmeldung direkt im GRUB-Bootloader ausgegeben. Wird die Malware ausgeführt, werden die Bootloader-Einträge überschrieben, um den Löschungstext anzuzeigen.

ESET-Forscher warnen

  • Nach einem Neustart ist das betroffene System nicht startfähig.
  • Wir möchten explizit darauf hinweisen, dass die Zahlung des Lösegelds nichts bringt!
  • Die auf dem betroffenen Host erzeugten Verschlüsselungsschlüssel werden weder lokal gespeichert, noch an einen C & C-Server gesendet.
  • Die Cyber-Kriminellen sind also gar nicht in der Lage, den Opfern einen Entschlüsselungsschlüssel zukommen zu lassen. Wir warnen davor, Zeit und Geld zu verschwenden!
  • Darüber hinaus haben ESET-Forscher festgestellt, dass eine Schwäche in der Verschlüsselung in der Linux-Version der KillDisk Ransomware eine Wiederherstellung ermöglicht. Das gestaltet sich bisweilen allerdings sehr kompliziert. (Die Wiederherstellung gilt ausdrücklich nicht für Windows!)
  • Wer Opfer von Ransomware ist, sollte auf keinem Fall das geforderte Lösegeld bezahlen. Es gibt keine Garantie dafür, wieder an seine Daten zu gelangen. Der sicherste Weg Ransomware zu umschiffen ist Aufklärung, Software und Betriebssysteme auf dem neusten Stand zu halten, zuverlässige Internet Security Lösungen und Backups.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben