Malvér9. január, 2017

KillDisk útočí už aj na operačný systém Linux, ako výkupné za odšifrovanie dát chce 200-tisíc eur

Výskumníci z bezpečnostnej spoločnosti ESET objavili variant škodlivého kódu KillDisk, ktorý útočí aj na operačný systém Linux. KillDisk je škodlivý kód, ktorý bol na sklonku roka 2015 použitý pri útoku na ukrajinskú kritickú infraštruktúru a v decembri 2016 pri útoku na ciele, ktoré sú súčasťou ukrajinského finančného sektora. Nový variant najskôr zašifruje dáta na zariadení, vyžiada si za ich odšifrovanie veľmi vysoké výkupné a následne zariadeniu neumožní naštartovať. Ak sa však obete rozhodnú výkupné vo výške takmer 200-tisíc eur zaplatiť, aj tak sa k svojim dátam pravdepodobne nedostanú. ESET pripomína, že operačný systém Linux nie je používaný len v desktopových zariadeniach ale hlavne na serveroch.

KillDisk je deštruktívny škodlivý kód, ktorý je neslávne známy tým, že ho BlackEnergy skupina použila ako súčasť svojho úspešného útoku na ukrajinskú elektrickú rozvodnú sieť v decembri 2015. Mesiac predtým s ním zaútočili na jednu z hlavných ukrajinských tlačových agentúr. V decembri bol zase ESET svedkom použitia tohto škodlivého kódu na Ukrajine pri útokoch na finančný sektor a lodnú prepravu. Funkcia šifrovania súborov na zariadeniach s operačných systémoch Linux je však pri KillDisku novinkou.

„Tieto posledné ransomwarové varianty KillDisku nedokážu útočiť len na windowsové systémy ale aj na linuxové zariadenia, čo je určite niečo, s čím sa nestretávame každý deň,“ vysvetľuje Robert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET. Po zašifrovaní obsahu zariadenia sa obeti zobrazí správa začínajúca sa provokatívnym slovným spojením „mrzí nás to“. Obeť sa z nej dozvedá, že pre odšifrovanie dát musí zaplatiť výkupné vo výške 222 bitcoinov, čo je aktuálne takmer 200-tisíc eur. Tomuto typu škodlivého kódu sa hovorí ransomware.

Ani zaplatenie vysokého výkupného však obeti nevráti stratené dáta. „Musíme podčiarknuť, že kriminálnici, ktorí sú za KillDiskom nedokážu obetiam dodať dešifrovacie kľúče, ktorými by údaje odšifrovali,“ varuje Lipovský. Šifrovacie kľúče vytvorené na infikovanom zariadení totiž nie sú ukladané ani v zariadení a ani nie sú zaslané na riadiaci server, ktorý ovláda útočník.

Pridanie ransomware funkcionality do tohto škodlivého kódu je nezvyčajné, keďže predchádzajúce útoky boli špionážnymi a sabotážnymi operáciami. Podľa odhadov ESETu ide skôr o posledný klinec do hrobu než o skutočnú ransomware kampaň, keďže tak vysoké výkupné zrejme nik nezaplatí a zároveň kriminálnici nie sú schopní efektívne dešifrovať súbory.

„Naša rada je vždy rovnaká. Ak ste sa stali obeťou ransomwaru, neplaťte. Neexistuje totiž žiadna záruka, že sa k údajom naozaj dostanete. Jediným bezpečným spôsobom, akým si poradiť s ransomwarom, je prevencia – vzdelávanie, aktualizovanie a patchovanie systémov, používanie spoľahlivého bezpečnostného riešenia a hlavne zálohovania s tým, že testujete, či sa dáta zo zálohy dajú opätovne obnoviť,“ radí Lipovský.

O spoločnosti ESET

Spoločnosť ESET je svetovým výrobcom bezpečnostného softvéru pre firemnú klientelu a domácnosti. Je lídrom na trhu proaktívnej detekcie počítačových hrozieb. Vďaka technológii Live Grid® využíva ESET dáta od dobrovoľných používateľov z celého sveta, a tak okamžite reaguje na nové hrozby. ESET drží vďaka zisku stého ocenenia VB100 v decembri 2016 rekord v počte týchto ocenení, ktoré udeľuje britský Virus Bulletin, vysoko-rešpektovaná nezávislá testovacia organizácia. Týždenník Trend ocenil ESET štyrikrát titulom Firma roka.

ESET sídli v Bratislave, regionálne pobočky má v Prahe, ČR; Jene, Mníchove, Nemecko; Bournemouthe, Veľkej Británii; San Diegu, USA; Buenos Aires, Argentína; Sydney, Austrália a Singapure. Výskumné centrá ESET pre analýzu malware sú okrem Bratislavy, aj v San Diegu, v Prahe, poľskom Krakove a kanadskom Montreale. ESET má zastúpenie vo viac ako 200 krajinách a územiach sveta.