KillDisk, impliqué dans des cyberattaques minutieuses, se dote d’un ransomware
Gagnant-gagnant
Le 30 décembre 2016 à 07h30
4 min
Logiciel
Logiciel
La famille de malware KillDisk a récemment évolué pour intégrer une composante ransomware. Le logiciel malveillant garde donc sa capacité à détruire, mais masque désormais cette dernière derrière une demande de rançon.
KillDisk est une famille de logiciels malveillants assez connus dans le monde de la sécurité. Il est apparu dans nos colonnes d’ailleurs en janvier 2016, lorsqu’une centrale électrique d’Ukraine a été attaquée. L’enquête avait mené vers un malware, nommé BlackEnergy, qui avait été mis à jour peu avant, avec notamment une adjonction : KillDisk. La mission de ce dernier était simple : effacer et réécrire les fichiers pour rendre le disque illisible et empêcher tout redémarrage de la machine.
De Sandworm à TeleBots
Pour autant, KillDisk est souvent associé à des campagnes particulières de cyberattaque ou d’espionnage. Les évènements de la centrale ukrainienne correspondaient à ce profil. Si l’on en croit la société de sécurité Bleeping Computer, on trouve à la base le groupe de pirates Sandworm, créateur du malware du même nom. Un logiciel conçu pour les attaques et le sabotage des systèmes de contrôle industriel. Par la suite, le groupe est devenu TeleBots, créateur de KillDisk.
On retrouve KillDisk dans des attaques relativement récentes contre des banques ukrainiennes. TeleBots semble responsable, ayant utilisé un troyen du même nom, masqué dans des pièces jointes, pour s’en prendre directement aux employés de la banque. Le nom du malware vient d’une particularité dans ses communications avec le serveur de contrôle : il se sert du protocole de Telegram. KillDisk intervenait alors à la fin pour supprimer des fichiers essentiels au système, en remplacer d’autres, changer des extensions et ainsi de suite. Là encore, la machine ne pouvait plus être démarrée, mais le malware servait également à masquer les traces de l’attaque.
KillDisk peut se changer en ransomware
Mais dans une version récente de KillDisk, Bleeping Computer a trouvé un nouveau composant. Le malware peut servir en fait deux missions : la classique ou la demande de rançon. D’après la société de sécurité, l’idée est relativement « élégante » car elle permet au groupe de TeleBots d’être gagnant dans presque tous les cas.
En effet, il est beaucoup plus difficile de penser à une éventuelle infection par KillDisk si un écran de ransomware apparaît, inspiré de la série Mr Robot. L’attitude de la structure visée peut varier bien sûr. Elle peut décider de payer, auquel cas la rançon demandée est particulièrement lourde : 222 bitcoins, soit environ 205 000 euros selon le cours actuel. Elle peut choisir au contraire de ne pas payer et de restaurer des sauvegardes. Auquel cas les traces de KillDisk disparaissent, et avec elles le forfait commis : les données visées ont déjà été récupérées.
Difficile de contourner le chiffrement mis en place
Toujours selon Bleeping Computer, la somme demandée n’est pas étonnante au vu des institutions visées en général. Des structures qui peuvent être prêtes à payer en fonction du caractère essentiel des informations. Par ailleurs, le chiffrement opéré par KillDisk laisse peu de place à une solution technique : chaque fichier est chiffré avec sa propre clé AES, chaque clé étant ensuite chiffrée avec une clé publique RSA-1028.
Pour autant, on parle ici d’une menace qui a très peu de chance d’affecter le grand public. Elle permet cependant de garder un œil sur l’évolution des techniques utilisées par les groupes de pirates dans des attaques minutieusement préparées.
KillDisk, impliqué dans des cyberattaques minutieuses, se dote d’un ransomware
-
De Sandworm à TeleBots
-
KillDisk peut se changer en ransomware
-
Difficile de contourner le chiffrement mis en place
Commentaires (19)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 30/12/2016 à 07h58
Une info importante qui manque : les plateformes visées
Le 30/12/2016 à 09h06
décidement le bitcoin n’a que des vertus comme financer les auteurs de virus
Le 30/12/2016 à 09h12
Je crois que très vite les USA vont pouvoir nous en dire plus.
Avec les représailles aux sanctions des ultimes avertissements de la ligne rouge à ne pas dépasser entre eux et les russes.
Parce que telegram+cible ukrainienne. ..
Le 30/12/2016 à 09h41
Le 30/12/2016 à 09h53
décidement les data n’ont que des vertus comme financer les gloutons
" />
Le 30/12/2016 à 10h11
décidément les commentaires ne servent qu’aux trolls :o
Le 30/12/2016 à 10h19
Ça vise les entreprises ? Mais normalement, les données sont toutes sauvegardées sur bande ou autre, avec une rétention sur plusieurs mois. Du coup, quel est l’intérêt de payer pour espérer récupérer ses données quand un simple PRA suffit ?
Le 30/12/2016 à 10h26
Tout dépend quelle entreprise et toute la nuance est dans le mot normalement.
Le 30/12/2016 à 10h27
@taralafifi
Bonjour,
L’article ne le dis pas clairement ( attaque = vol ou attaque = arret des système) mais je pense comprendre que le logiciel volait d’abord des données puis ensuite il utilisait killdisk pour empêcher le redémarrage du system ( et donc cacher le vol puisque l’entreprise visée faisait une reinstall avec formatage ).
L’évolution décrite dans l’article indique qu’au lieu de lancer killdisk , les “pirates” utilise le ransomware . Si l’entreprise restaure le poste , elle efface par la même occasion les traces du vol et pense que c’était juste un ransomware , alors qu’avec les première version du logiciel , le fait que killdisk soit entré en fonction pouvais laisser deviner à l’entreprise qu’un vol de données avait eu lieu.
Et sinon si l’entreprise paye c’est tout benef !
Voilà.
et aussi bonne fêtes à tous !
Le 30/12/2016 à 10h30
RSA-1028 ? C’est 1024 ou 2048 ?
Pour le coup 1024 me semble assez faible.
Le 30/12/2016 à 10h34
“chaque fichier est chiffré avec sa propre clé AES, chaque clé étant ensuite chiffrée avec une clé publique RSA-1028”
ça calme c’est sur. c’est pas des petits joueurs les gars, ça doit demander pas mal d’organisation cette histoire !!
Le 30/12/2016 à 10h36
.
Le 30/12/2016 à 13h08
Pour ceux qui veulent une analyse des mécanismes de ce malware (utile pour s’en protéger):
http://www.welivesecurity.com/2016/12/13/rise-telebots-analyzing-disruptive-kill…
Comme on peut s’en apercevoir, c’est un assemblage de codes/exploits écrits par différentes personnes dans différents langages. On n’est pas dans un malware écrit “from scratch” par un génie de l’informatique, mais dans du CTRL-C/CTRL-V de techniques pré-existantes.
Le 30/12/2016 à 17h11
Le 30/12/2016 à 19h25
Ça c’est de l’INpactitude! Merci pour ce partage.
" />
Les commentaires auraient pu être passionnants et éclairés avec de beaux trolls, mais pas de chance un autre article sur les prunes automatiques requiert plus l’attention de la communauté, plus efficace pour exciter le citoyen
Le 31/12/2016 à 00h10
chaque fichier est chiffré avec sa propre clé AES, chaque clé étant ensuite chiffrée avec une clé publique RSA-1028
1028 bits c’est nouveau ? :o
Ça me paraît très faible pourtant, même pas du 2048bits?
Le 31/12/2016 à 12h31
Le 02/01/2017 à 11h31
Le 02/01/2017 à 11h58
Cela nécessite des moyens colossaux mais complétement science fictionnesque.
Alors si l’on est un tant soit peu parano sur la sécurité (comme toute personne qui fait de la sécurité) on considère l’algo comme non sûr voir carrément cassé et on passe au suivant.
Un peu comme les récentes collisions trouvées sur le SHA-1 (seulement 2^69 opérations… donc pas à la porté de tonton Gérard), on recommande maintenant le SHA-256.