La famille de malware KillDisk a récemment évolué pour intégrer une composante ransomware. Le logiciel malveillant garde donc sa capacité à détruire, mais masque désormais cette dernière derrière une demande de rançon.
KillDisk est une famille de logiciels malveillants assez connus dans le monde de la sécurité. Il est apparu dans nos colonnes d’ailleurs en janvier 2016, lorsqu’une centrale électrique d’Ukraine a été attaquée. L’enquête avait mené vers un malware, nommé BlackEnergy, qui avait été mis à jour peu avant, avec notamment une adjonction : KillDisk. La mission de ce dernier était simple : effacer et réécrire les fichiers pour rendre le disque illisible et empêcher tout redémarrage de la machine.
De Sandworm à TeleBots
Pour autant, KillDisk est souvent associé à des campagnes particulières de cyberattaque ou d’espionnage. Les évènements de la centrale ukrainienne correspondaient à ce profil. Si l’on en croit la société de sécurité Bleeping Computer, on trouve à la base le groupe de pirates Sandworm, créateur du malware du même nom. Un logiciel conçu pour les attaques et le sabotage des systèmes de contrôle industriel. Par la suite, le groupe est devenu TeleBots, créateur de KillDisk.
On retrouve KillDisk dans des attaques relativement récentes contre des banques ukrainiennes. TeleBots semble responsable, ayant utilisé un troyen du même nom, masqué dans des pièces jointes, pour s’en prendre directement aux employés de la banque. Le nom du malware vient d’une particularité dans ses communications avec le serveur de contrôle : il se sert du protocole de Telegram. KillDisk intervenait alors à la fin pour supprimer des fichiers essentiels au système, en remplacer d’autres, changer des extensions et ainsi de suite. Là encore, la machine ne pouvait plus être démarrée, mais le malware servait également à masquer les traces de l’attaque.
KillDisk peut se changer en ransomware
Mais dans une version récente de KillDisk, Bleeping Computer a trouvé un nouveau composant. Le malware peut servir en fait deux missions : la classique ou la demande de rançon. D’après la société de sécurité, l’idée est relativement « élégante » car elle permet au groupe de TeleBots d’être gagnant dans presque tous les cas.
En effet, il est beaucoup plus difficile de penser à une éventuelle infection par KillDisk si un écran de ransomware apparaît, inspiré de la série Mr Robot. L’attitude de la structure visée peut varier bien sûr. Elle peut décider de payer, auquel cas la rançon demandée est particulièrement lourde : 222 bitcoins, soit environ 205 000 euros selon le cours actuel. Elle peut choisir au contraire de ne pas payer et de restaurer des sauvegardes. Auquel cas les traces de KillDisk disparaissent, et avec elles le forfait commis : les données visées ont déjà été récupérées.
Difficile de contourner le chiffrement mis en place
Toujours selon Bleeping Computer, la somme demandée n’est pas étonnante au vu des institutions visées en général. Des structures qui peuvent être prêtes à payer en fonction du caractère essentiel des informations. Par ailleurs, le chiffrement opéré par KillDisk laisse peu de place à une solution technique : chaque fichier est chiffré avec sa propre clé AES, chaque clé étant ensuite chiffrée avec une clé publique RSA-1028.
Pour autant, on parle ici d’une menace qui a très peu de chance d’affecter le grand public. Elle permet cependant de garder un œil sur l’évolution des techniques utilisées par les groupes de pirates dans des attaques minutieusement préparées.