KillDisk hat Linux-Geräte im Visier
Wie zdnet.de unter Berufung auf die Erkenntnisse des Antivirenspezialisten ESET berichtet, greift KillDisk außer Linux-basierten Arbeitsplatzrechnern auch Server-Systeme an, was besonders bedrohlich ist.
Wie verlautet verschlüsselt KillDisk Dateien und fordert von den Opfern 250.000 Dollar in Bitcoins. Von einer Zahlung des Lösegeldes rät der Security-Software-Hersteller unbedingt ab, da eine Entschlüsselung durch die Angreifer als höchst unwahrscheinlich eingeschätzt wird.
ESET entdeckte Lücke in Verschlüsselung
Laut den Sicherheitsspezialisten sei eine Entschlüsselung der KillDisk-Malware vermutlich nicht machbar, da weder Kodierungsschlüssel gespeichert noch versendet würden. Den Forschern sei es aber gelungen über eine Lücke in der Verschlüsselung in einem äußerst aufwendigen Verfahren die Daten wiederherzustellen.
Robert Lipovský, ESET Senior Research, warnt eindringlich vor Lösegeldzahlungen:
„KillDisk ist ein weiteres Beispiel dafür, warum eine Lösegeldzahlung bei Ransomware keine Option ist“
„Im Umgang mit Kriminellen gibt es keine Garantie, dass man seine Daten zurückbekommt – und im aktuellen Fall hatten die Cyberkriminellen nie vor, ihr Versprechen zu halten.“
Er rät zu Prävention:
- Aufklärung der Mitarbeiter
- Systeme stets aktuell halten (Patches, Sicherheitslösungen, Backups)
KillDisk, eine destruktive Malware
Wie KillDisk arbeitet wurde auf welivesecurity.com ausführlich dargelegt und auch auf trojaner-info.de berichtet (Siehe weiterführende Links). Die sogenannte destruktive Malware wurde nach Angriffen der er BlackEnergy-Gruppe gegen das ukrainische Stromnetz im Dezember 2015 und eine der wichtigsten Nachrichtenagenturen des Landes im November 2015 bekannt. Auch der Finanzbranche wurde KillDisk bei Angriffen Anfang Dezember in der Ukraine eingesetzt.
Diese Angriffe sollen sich laut welivesecurity.com den ganzen Dezember über fortgesetzt haben. Unter den Zielen befand sich auch der ukrainische Seetransportsektor. Die Angreifer benutzen fortan Meterpreter Backdoors und die C&C-Kommunikation durchlief nicht länger die Telegram API.
Weiterführende Links:
KillDisk Malware hat Linux im Visier
zdnet.de: Ransomware für Open Source: ESET warnt vor Linux-Variante von KillDisk