Злоумышленники используют KillDisk для атак на Linux-системы

Исследователи из антивирусной компании ESET обнаружили новый вариант вредоноса KillDisk, предназначенного для атак на Linux-системы.

KillDisk является деструктивным вредоносом, ставший известным благодаря атаке на энергетические системы Украины в декабре 2015 года. Вредонос использовался также в атаках на финансовый сектор Украины в декабре 2016 года. Хакерская группировка, получившая название TeleBots, использовала KillDisk на ряду с другими утилитами, в том числе с мессенджером Telegram.

Атаки с использованием KillDisk продолжались в течение декабря 2016, где жертвами стали украинские морские транспортные компании. Набор инструментов для атаки также расширился по сравнению с 2015 годом. KillDisk обзавелся бэкдорами Meterpreter и функционалом связи с C&C серверами посредством Telegram API. Кроме того, в KillDisk встроен функционал вымогателя. После попадания на систему жертвы утилита не удаляет файлы, а шифрует данные и требует выкуп в размере 222 Bitcoin (примерно 250 тыс долларов США).

Функционал вымогателя присутствует также в Linux-версии вредоноса. Для шифрования данных используется алгоритм Triple-DES, а каждый файл шифруется с помощью различного набора 64-битных ключей.