KillDisk, impliqué dans des cyberattaques minutieuses, se dote d'un ransomware

KillDisk, impliqué dans des cyberattaques minutieuses, se dote d’un ransomware

Gagnant-gagnant

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

30/12/2016 4 minutes
19

KillDisk, impliqué dans des cyberattaques minutieuses, se dote d'un ransomware

La famille de malware KillDisk a récemment évolué pour intégrer une composante ransomware. Le logiciel malveillant garde donc sa capacité à détruire, mais masque désormais cette dernière derrière une demande de rançon.

KillDisk est une famille de logiciels malveillants assez connus dans le monde de la sécurité. Il est apparu dans nos colonnes d’ailleurs en janvier 2016, lorsqu’une centrale électrique d’Ukraine a été attaquée. L’enquête avait mené vers un malware, nommé BlackEnergy, qui avait été mis à jour peu avant, avec notamment une adjonction : KillDisk. La mission de ce dernier était simple : effacer et réécrire les fichiers pour rendre le disque illisible et empêcher tout redémarrage de la machine.

De Sandworm à TeleBots

Pour autant, KillDisk est souvent associé à des campagnes particulières de cyberattaque ou d’espionnage. Les évènements de la centrale ukrainienne correspondaient à ce profil. Si l’on en croit la société de sécurité Bleeping Computer, on trouve à la base le groupe de pirates Sandworm, créateur du malware du même nom. Un logiciel conçu pour les attaques et le sabotage des systèmes de contrôle industriel. Par la suite, le groupe est devenu TeleBots, créateur de KillDisk.

On retrouve KillDisk dans des attaques relativement récentes contre des banques ukrainiennes. TeleBots semble responsable, ayant utilisé un troyen du même nom, masqué dans des pièces jointes, pour s’en prendre directement aux employés de la banque. Le nom du malware vient d’une particularité dans ses communications avec le serveur de contrôle : il se sert du protocole de Telegram. KillDisk intervenait alors à la fin pour supprimer des fichiers essentiels au système, en remplacer d’autres, changer des extensions et ainsi de suite. Là encore, la machine ne pouvait plus être démarrée, mais le malware servait également à masquer les traces de l’attaque.

KillDisk peut se changer en ransomware

Mais dans une version récente de KillDisk, Bleeping Computer a trouvé un nouveau composant. Le malware peut servir en fait deux missions : la classique ou la demande de rançon. D’après la société de sécurité, l’idée est relativement « élégante » car elle permet au groupe de TeleBots d’être gagnant dans presque tous les cas.

En effet, il est beaucoup plus difficile de penser à une éventuelle infection par KillDisk si un écran de ransomware apparaît, inspiré de la série Mr Robot. L’attitude de la structure visée peut varier bien sûr. Elle peut décider de payer, auquel cas la rançon demandée est particulièrement lourde : 222 bitcoins, soit environ 205 000 euros selon le cours actuel. Elle peut choisir au contraire de ne pas payer et de restaurer des sauvegardes. Auquel cas les traces de KillDisk disparaissent, et avec elles le forfait commis : les données visées ont déjà été récupérées.

Difficile de contourner le chiffrement mis en place

Toujours selon Bleeping Computer, la somme demandée n’est pas étonnante au vu des institutions visées en général. Des structures qui peuvent être prêtes à payer en fonction du caractère essentiel des informations. Par ailleurs, le chiffrement opéré par KillDisk laisse peu de place à une solution technique : chaque fichier est chiffré avec sa propre clé AES, chaque clé étant ensuite chiffrée avec une clé publique RSA-1028.

Pour autant, on parle ici d’une menace qui a très peu de chance d’affecter le grand public. Elle permet cependant de garder un œil sur l’évolution des techniques utilisées par les groupes de pirates dans des attaques minutieusement préparées.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De Sandworm à TeleBots

KillDisk peut se changer en ransomware

Difficile de contourner le chiffrement mis en place

Commentaires (19)


Une info importante qui manque : les plateformes visées


décidement le bitcoin n’a que des vertus comme financer les auteurs de virus


Je crois que très vite les USA vont pouvoir nous en dire plus.



Avec les représailles aux sanctions des ultimes avertissements de la ligne rouge à ne pas dépasser entre eux et les russes.



Parce que telegram+cible ukrainienne. ..








cygnusx a écrit :



décidement le bitcoin n’a que des vertus comme financer les auteurs de virus







décidement les camions n’ont que des vertus comme écraser les ennemis de daesh



décidement les data n’ont que des vertus comme financer les gloutons

<img data-src=" />


décidément les commentaires ne servent qu’aux trolls :o


Ça vise les entreprises ? Mais normalement, les données sont toutes sauvegardées sur bande ou autre, avec une rétention sur plusieurs mois. Du coup, quel est l’intérêt de payer pour espérer récupérer ses données quand un simple PRA suffit ?


Tout dépend quelle entreprise et toute la nuance est dans le mot normalement.&nbsp;


@taralafifi



Bonjour,

L’article ne le dis pas clairement ( attaque = vol ou attaque = arret des système) mais je pense comprendre que le logiciel volait d’abord des données puis ensuite il utilisait killdisk pour empêcher le redémarrage du system ( et donc cacher le vol puisque l’entreprise visée faisait une reinstall avec formatage ).

&nbsp;

L’évolution décrite dans l’article indique qu’au lieu de lancer killdisk , les “pirates” utilise le ransomware . Si l’entreprise restaure le poste , elle efface par la même occasion les traces du vol et pense que c’était juste un ransomware , alors qu’avec les première version du logiciel , le fait que killdisk soit entré en fonction pouvais laisser deviner à l’entreprise qu’un vol de données avait eu lieu.



&nbsp;Et sinon si l’entreprise paye c’est tout benef !

&nbsp;

Voilà.



et aussi bonne fêtes à tous !


RSA-1028 ? C’est 1024 ou 2048 ?



Pour le coup 1024 me semble assez faible.


“chaque fichier est chiffré avec sa propre clé AES, chaque clé étant ensuite chiffrée avec une clé publique RSA-1028”

ça calme c’est sur. c’est pas des petits joueurs les gars, ça doit demander pas mal d’organisation cette histoire !!


.


Pour ceux qui veulent une analyse des mécanismes de ce malware (utile pour s’en protéger):



http://www.welivesecurity.com/2016/12/13/rise-telebots-analyzing-disruptive-kill…



Comme on peut s’en apercevoir, c’est un assemblage de codes/exploits écrits par différentes personnes dans différents langages. On n’est pas dans un malware écrit “from scratch” par un génie de l’informatique, mais dans du CTRL-C/CTRL-V de techniques pré-existantes.








aGuy a écrit :



Tout dépend quelle entreprise et toute la nuance est dans le mot normalement.&nbsp;





+1. Tout dépend aussi de la capacité à retrouver la bande, de ce qui est backupé, etc :)



Ça c’est de l’INpactitude! Merci pour ce partage.

Les commentaires auraient pu être passionnants et éclairés avec de beaux trolls, mais pas de chance un autre article sur les prunes automatiques requiert plus l’attention de la communauté, plus efficace pour exciter le citoyen&nbsp;<img data-src=" />




chaque fichier est chiffré avec sa propre clé AES, chaque clé étant ensuite chiffrée avec une clé publique RSA-1028



1028 bits c’est nouveau ? :o

Ça me paraît très faible pourtant, même pas du 2048bits?








viruseb a écrit :



RSA-1028 ? C’est 1024 ou 2048 ?

Pour le coup 1024 me semble assez faible.









Luclu7 a écrit :



1028 bits c’est nouveau ? :o

Ça me paraît très faible pourtant, même pas du 2048bits?





Vous avez une idée des moyens (et du temps) qu’il faut pour casser une clé RSA de 1024 bits ?









OlivierJ a écrit :



Vous avez une idée des moyens (et du temps) qu’il faut pour casser une clé RSA de 1024 bits ?





Il me semblait que des chercheurs avaient réussi à factoriser une clef 768bits, sur 2 ans avec l’équivalent de 1000 cores (pas de ref fiable cependant, cf lien plus bas). Sur SO une personne a vaguement calculé 7500 ans pour casser du 1024 bits avec la même puissance, qques millions d’années avec un i7 a 2.5GHz:

http://stackoverflow.com/a/14303492/5847906



Cela nécessite des moyens colossaux mais complétement science fictionnesque.



Alors si l’on est un tant soit peu parano sur la sécurité (comme toute personne qui fait de la sécurité) on considère l’algo comme non sûr voir carrément cassé et on passe au suivant.



Un peu comme les récentes collisions trouvées sur le SHA-1 (seulement 2^69 opérations… donc pas à la porté de tonton Gérard), on recommande maintenant le SHA-256.