KillDisk, il malware che mette k.o. gli hard disk diventa un ransomware

29 Dicembre 2016 69

KillDisk è un malware ben noto agli esperti di sicurezza che, sino ad ora, è stato impiegato per compiere operazioni di cyber-spionaggio e cyber-sabotaggio. Il normale modus operandi del malware determina la completa cancellazione dei dati memorizzati nell'hard disk con il duplice scopo di rendere la macchina non più avviabile e di cancellare dal sistema le tracce lasciate dagli hacker.

Prima di avviare la cancellazione dei dati memorizzati nel supporto di archiviazione, infatti, gli hacker mediante un apposito trojan riescono ad acquisire dati importanti, come password e file. Sin qui nulla di nuovo, la novità relativa a KillDisk riguarda la recente ''mutazione", ben documentata dal team di sicurezza CyberX, con l'aggiunta di una componente ransomware.

KillDisk nello specifico procedere alla crittografia dell'intero supporto di memoria, utilizzando un algoritmo crittografico molto complesso - ogni file viene crittografato con una chiave AES, e, a sua volta, la chiave AES viene crittografata con una chiave pubblica RSA-1028. In sintesi, la vittima ha ben poche speranze di riuscire a tornare in possesso dei propri file senza pagare l'oneroso riscatto pari a 222 Bitcoin, ovvero circa 194000 euro.

Il messaggio con il quale la nuova variante di KillDisk chiede il pagamento di un riscatto di 222 bitcoin per tornare in possesso dei file criptati.

L'evoluzione di KillDisk da ''semplice'' malware a ransomware, come mette in evidenza Bleeping Computer, è una mossa determinata dalla necessità di mimetizzare ulteriormente le tracce degli hacker. Le vittime - che si ricorda - coincidono anche, se non perlopiù, grandi aziende come, ad esempio, istituti bancari - possono essere erroneamente portati a credere che si tratti solo di un ransomware ed essere portati a risolvere la vicenda utilizzando un backup dell'unità o, in alternativa, pagando il riscatto per evitare una spiacevole esposizione mediatica. Come detto, KillDisk, nel frattempo, fa anche altro, a partire dalla sottrazione di dati sensibili.

A gestire gli attacchi effettuati con KillDisk è un gruppo che si fa chiamare Sandworm o TeleBots e che ha messo a segno un attacco informatico contro diverse banche ucraine nella seconda metà del 2016. Il canale di propagazione del malware ha coinciso con gli allegati di posta elettronica, mentre l'operazione si è conclusa con una preliminare raccolta dei dati sensibili e la successiva cancellazione, riscrittura dei file e delle loro estensioni per rendere le macchine inutilizzabili.

Il 2016 si conclude con un poco incoraggiante incremento della diffusione dei ransomware che, oltre ad essere declinati in molteplici varianti - si veda Popcorn Time - e pronti ad invadere i dispositivi IoT, vengono utilizzati per ''potenziare'' preesistenti malware, come dimostra l'evoluzione di KillDisk.

Al momento, l'utente finale può dormire sonni relativamente tranquilli, KillDisk può essere rilevato da Windows Defender e, come detto, le vittime del malware/ransomware non coincidono con utenti finali scelti a caso, ma con aziende e importanti istituti finanziari. Al tempo stesso, ad impensierire è l'ennesima dimostrazione dell'inesauribile creatività dei gruppi hacker e la capacità di combinare diverse tecniche d'attacco per creare non pochi grattacapi alla vittima.

Spendere poco per avere tanto? Huawei P9 Lite è in offerta oggi su a 189 euro.

69

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...

Beh, in realtà addirittura 201.710,976. 20.000 euro non sono proprio spicci...

Aster

Poi se il primo informatico estato una donna un minimo di rispetto ci vuole

Aster

Sei proprio rimasto ai anni 50,dottori migliori uomini dirigenti uomini informatici uomini ecc ecc e poi ci meravigliano che gli uomini guadagnano di più,io infatti parlavo del corso di laurea in informatica, e l'Italia non e il mondo

deepdark

Non fanno testo, sono sempre in minoranza. Fatti un giro nei forum, nelle società informatiche, nelle università e vedi che percentuale di donne ci sono.

Sagitt

no la mia è più banale, si tratta di sincronizzatori

Aster

Di solito agisce subito,poi le vi e del informatica sono infinite, e avere un backup offline non fa male

al404

Non volevo dirlo perchè poi sembravo un po' paranoico XD
ma anche io ho 2 NAS entrambe synology ed hanno un software apposta per effettuare una copia ed allineare le cartelle con i backup, una delle 2 ha anche btrfs con versioning abilitato sulla cartella dei backup :-P

Sagitt

io ho 2 nas, nas 1 sempre collegato al boot sui pc, nas 2 che va collegato manualmente. ogni tanto faccio un sync del nas 1 al nas 2 (fa praticamente copia carbone) al quale assisto live, se inizia a copiare file su file stoppo subito.

Inoltre tutto ciò che è sul nas 1, in parte, lo copio localmente sul pc in questione (ho una struttura divisa per pc->cartelle) in modo da avere anche un backup locale.

Ovviamente tutto automatico tramite sincronizzatori

Filo

Se il backup si fa direttamente dal NAS su HDD esterno e non dal computer infettato non ci dovrebbe essere nessun problema se il backup è settato che tiene traccia di ogni versione del file, giusto? O riescono a fregarti anche in questo modo?

LaVeraVerità

Peccato che, come detto sopra, il momento della criptazione dei file e quello dell'avviso di riscatto possono essere distinti e distanti anche diversi giorni, quando ormai puoi avere sovrascritto il backup buono con le copie criptate (e non è che ogni volta vai ad occupare magari terabyte di spazio per aggiungere un backup completamente nuovo. In genere si fa un backup incrementale che sovrascrive i file modificati -e guarda caso il file criptati SONO modificati-)

LaVeraVerità

vedi sopra

LaVeraVerità

Se agisce come un virus prima infetta e poi si palesa. Niente impedisce, con un meccanismo del genere, di criptare i file progressivamente e lanciare la richiesta di riscatto anche a distanza di giorni, quando magari il backup è stato già sovrascritto con le versioni criptate.

al404

Io al momento per i backup uso 2 soluzioni, ma non so se sono completamente sicure contro i malware / ransomware.
Dal mac ( ho anche un PC in rete solo per alcuni programmi e test ) creo un backup in un DMG criptato con password, non credo che i ransomware criptico i DMG
il secondo backup viene effettuato sulla NAS sul disco 1 in una partizione condivisa in rete e poi copiato su disco 2 in una partizione non condivisa in rete.

Collegare e scollegare il disco solo al momento del backup la vedo una soluzione un po' complessa, anche perchè andrebbe a finire che mi dimentico e mi ritrovo con un backup di mesi prima.

Aster

Si tante,e anche i miei migliori studenti sono raggazze

Marco

AHAHAH

AlphAtomix

erano hdd esterni appoggiati sopra al server e nel passare avranno preso dentro facendoli cadere.

al404

Cosa vuol dire che nel tempo hanno fatto cadere gli hdd di backup?

deepdark

Perché, hai msi conosciuto qualche donna che sapesse usare il computer? A livello tecnologico è risaputo che le donne sono impedite (nel senso che nn gli interessa proprio nn che nn possano essere come certi uomini).

Matteo Fabris

si si, so di gente che ha pagato e ha avuto indietro il tutto, anche in poco tempo...
se non hai un bk recente e lo puoi ripristinare in poco tempo conviene pagare, a volte si tratta di 500/600€, forse un migliaio...diciamo che per un'azienda non sono poi tanti, infatti il trucco è stato chiedere cifre relativamente basse...
pensa solo per un'azienda avere backup parziali, incompleti eccecc e dover chiamare un consulente/tecnico esterno per ripristinare il tutto, che minimo chiede 300€ al giorno di lavoro, non sai quanto impiega, magari manca qualcosa, hai le persone ferme...

per esperienza, se non sei in grado di ripristinare il tutto in 4 ore paga che fai prima...

Matteo Fabris

non penso si possa, altrimenti posso garantirti che ci sarebbero molte persone per strada...
sarebbe come licenziare un autista per un incidente, o un operaio perchè sbaglia una lavorazione...se il fatto è doloso o dovuto a grave negligenza ok, altrimenti la legge tutela i lavoratori...

Matteo Fabris

oddio, sempre più aziende stanno portando i server in cloud, primo fra tutti la mail...

Matteo Fabris

purtroppo la cultura in questo senso è scarsa...
Iniziano a pensare seriamente ai backup dopo il primo fail del sistema, in anni magari non è mai successo, nessuno de da peso, quando accade e si perdono mesi di lavoro si inizia a farci caso...
purtroppo ripeto è ignoranza in materia...

anche a livello provati, gente che tiene le foto di una vita in un disco esterno che buttano qua e la, e portano in giro senza troppe attenzioni... e prima o poi succede l'inevitabile...

Aster

Un ospedale,o rimanere senza elettricità ti piacerebbe che la centrale elettrica fosse fuori uso

Aster

Una mia amica statunitense ha rotto lo schermo un portatile perché ha chiuso il coperchio con il cavo di alimentatore in mezzo,perso o rubato 2 iPhone in 3 mesi e rovinato cambio e forse la frizione del auto aziendale perche non sa guidare in manuale,casa pagata stipendio USA e ha fatto un sfigato college nel midwest neanche laureata solo perche la sua capa in Italia vuole un team internazionale,e il bello e che la capa non sa l'inglese

Aster

Solita donna mi sembra esagerato;)

Aster

Uno backup come minimo in un supporto esterno non collegato alla rete e il minimo

Gios

Scusa hai ragione ogni tanto mi dimentico del paese in cui vivo

Giorgio

Incredibile che Windows o Mac OS siano bypassati così facilmente

Sciencefun

si ma anche voi.. i backup acciderbolina!!

AlphAtomix

In ufficio da me qualche impiegata ha pensato bene di aprire un allegato "important Scan"...Server intero criptato da un certo osiris e 3 bitcoin per riscattarlo. Ovviamente nel tempo hanno fatto cadere gli hdd di backup che si sono danneggiati. Per fortuna sono riuscito a recuperare il 95% dei file...Sennò c'erano almeno 20 anni di lavoro persi. Ora One drive e gtfo.

Pistacchio

Io spero che chi fa queste cose gli muoia la mamma, padre e figlio di leucemia o meningite

Luca Bonora

Si certo se, esempio, Drive è in esecuzione nel sistema. Il ramsomware cripta i dat sulla cartella in locale e Drive sincronizza il guaio nel cloud

deepdark

No che fai, scherzi? Chissà da chi è raccomandata. In un paese che da ministeri a gente neppure diplomata, vuoi che una incapace (nn entro nel merito del lavoro che svolgeva, però nn conoscere le basi minime del mezzo con cui lavora....) venga mandata a casa?

Cloud387

io ne ho 1500 di quando valevano una cazzata.

stasera tutti ad arcore con droga e mignotte

Gios

Non la licenziano?

Gios

Una azienda privata non mette i propri dati sensibili su Cloud.....

Mauro B

Magari dopo 2 mesi che l'hard disk "faceva uno strano rumore"

Dakota

infatti, hai pienamente ragione! è una cosa che faccio pure io sui miei due Mac :)

EG

222 BTC attualmente sono circa 180000 euro

lore_rock

Ok che sono pericolosi e tutto, ma diobono, le grosse aziende non pensano a un sistema di backup?Cavolo, lo abbiano un azienda da me che siamo piccoli e pochi.
Mettiamo caso che non ci sia il pericolo virus, ma se un hd si guasta? A noi é successo che un ssd sia morto per gli affari sua da un giorno all'altro, fortunatamente abbiamo un sistema di backup che crea una copia della cartella selezionata e si può impostare ogni quanto deve fare il backup.

lore_rock

Ferrari aveva un progetto di una monoposto vincente...ma sono stati hackerati, che sfiga.
(rido per non piangere!)

Aster

Hollywood Presbyterian Medical Center 17000$ non riesco mettere lo screenshot cosi copiò;)
Non è di certo la prima volta che delle strutture di pubblico interesse devono cedere ai ricatti dei criminali informatici. Sempre oltreoceano, pochi mesi fa è stata la volta di alcuni piccoli dipartimenti di polizia nel Massachusetts, Tennessee, e New Hampshire. Tutti costretti a scucire tra i 500 e i 750 dollari per riavere indietro i loro dati. Mentre nel 2014, nella rete del ransomware CryptoLocker, sono finiti molti comuni italiani e a pagare volontariamente sono stati addirittura i dipendenti. Dalle scuole alle industrie, passando per le centrali elettriche e le pompe idriche

Aster

Alla ducati e lamborghini lo sono;)

Aster

Le cartelle mediche niente di che vita e morte

Aster

Un noto ospedale negli stati uniti criptati circa 20 mila cartelle non ricordo bene,più qualche piccolo comune in italia

Aster

Aspettiamo l'articolo sul virus che infetta i router tramite android

Anto.b93

Si, conosco anche io gente del genere... resta il fatto che in particolari circostanze posso criptare anche i cloud

franky29

Sta scritto che colpiscono le banche XD stile mr robot

irondevil

"aspettiamo una recensione per comprarlo"

iclaudio

Ho conosciuto gente che faceva danni anche senza virus tipo PC da lavoro con tutti i dati persi per via di hd rotto senza mai aver fatto backup...

LG

Primo weekend con LG G6: autonomia top!

Hardware

Jumper EZBOOK 3 ha Apollo Lake, è un 14 pollici e costa ~160€ | Recensione

Android

Android O: tutte le novità principali nella nostra Anteprima | VIDEO

Samsung

Samsung THE FRAME: la nostra anteprima del "TV quadro" da Parigi