
We weten allemaal heel goed dat ransomware de afgelopen maanden een van de gevaarlijkste vormen van malware is geworden. We hebben gevallen gezien die grote bedrijven over de hele wereld hebben getroffen. Volgens de laatste rapporten heeft nu echter een nep-ransomware de financiële bedrijven in Latijns-Amerika getroffen en staat de nep-ransomware bekend als KillDisk.
laten zien
KillDisk nep-ransomware treft financiële bedrijven
Ransomware is de afgelopen maanden een van de gevaarlijkste soorten malware geworden. We hebben gevallen gezien die grote bedrijven over de hele wereld hebben getroffen. Zoals we weten, kapen cybercriminelen de bestanden en mappen van gebruikers. In ruil daarvoor vragen ze om een economische redding. In dit artikel gaan we het hebben over KillDisk, een malware die zichzelf voordoet als valse ransomware en die vooral financiële entiteiten treft.
KillDisk, veranderd in een nep-ransomware
Het is echt een nieuwe versie van KillDisk-malware. Zijn functie is om harde schijven te wissen. Bij deze gelegenheid wordt deze variant echter doorgegeven door een ransomware. Deze nep-ransomware verwijdert opzettelijk de harde schijf, maar bevat ook een losgeldbrief. Een poging om het slachtoffer te laten denken dat het ransomware is en dat als ze betalen, ze hun mappen zullen ophalen.
KillDisk is een van de meest dodelijke soorten malware. Het wissen van harde schijven is zijn functie. Iets dat gebruikers duidelijk veel schade berokkent. Het is voornamelijk gebruikt door cyberspionagegroepen, zoals Telebots.
Dit is dezelfde groep die de Sandworm-malware heeft gemaakt die industriële apparatuur in de Verenigde Staten heeft aangevallen. Ook de BlackEnergy-malware die werd gebruikt bij aanvallen op het Oekraïense elektriciteitsnet en de NotPetya-ransomware die in juni 2017 veel bedrijven trof.
KillDisk is oorspronkelijk ontwikkeld als schijfwis-malware die werd geïmplementeerd in de latere stadia van een infectie, zodat aanvallers het konden gebruiken om hun vingerafdrukken te verbergen door schijven op te schonen en al het forensisch bewijsmateriaal te vernietigen.
Dit was het hoofddoel van KillDisk toen het samen met de BlackEnergy-malware werd gebruikt tijdens de Telebots-aanvallen op het Oekraïense elektriciteitsnetwerk in december 2015 en december 2016.
Veranderingen
Eind 2016 kreeg KillDisk een facelift en ging het zich voordoen als ransomware bij aanvallen op Oekraïense banken. Kort daarna is een variant van Linux ontdekt, die tegen dezelfde doelen werd gebruikt.
Nu rapporteert Trend Micro over nieuwe KillDisk-aanvallen. Het bedrijf zegt een nieuwe versie te hebben gedetecteerd, maar de veranderingen zijn minimaal in vergelijking met eerdere aanvallen.
Het losgeldbriefje is er nog steeds, evenals de functies voor het wissen van de schijf. Het enige dat is veranderd, zijn de doelstellingen, met KillDisk geïmplementeerd in de netwerken van financiële bedrijven in Latijns-Amerika, ver verwijderd van de eerdere doelstellingen van Oekraïne waar de afgelopen drie jaar malware werd gedetecteerd.
Op dit moment zei Trend Micro niet of deze recentere aanvallen werden uitgevoerd door het TeleBots-team, of door enkele navolgers die de onderzoekers proberen te misleiden en te misleiden.
Maar net als bij eerdere aanvallen merkten de onderzoekers ook dat KillDisk niet de belangrijkste malware was die werd ingezet.
werking
Volgens de onderzoekers laadt KillDisk, zodra het de computer binnenkomt, in het geheugen, verwijdert het de bestanden en verandert de naam. Vervolgens overschrijft het de eerste 20 sectoren van het Master Boot Record (MBR) van elk opslagapparaat met 0x00 bytes.
Daarna zal het de eerste 2800 bytes van elk bestand herschrijven met dezelfde 0x00 bytes in elke vaste en verwijderbare opslageenheid. De enige bestanden die intact blijven, zijn de bestanden en mappen in de volgende mappen, allemaal gerelateerd aan de bewerkingen van het besturingssysteem: –
- WINNT
- Gebruikers
- ramen
- Programmabestanden
- Programmabestanden (x86)
- Programma gegevens
- Herstel (hoofdlettergevoelige controle)
- $ Prullenbak
- systeem volume informatie
- oud
- PerfLogs
Later start het een timer van 15 minuten en stopt het de volgende processen, die fundamenteel zijn voor het besturingssysteem. Hierdoor wordt de computer opnieuw opgestart zonder de optie van de gebruiker: –
- Client/server runtime-subsysteem (csrss.exe)
- Windows-opstarttoepassing (wininit.exe)
- Windows-aanmeldingstoepassing (winlogon.exe)
- Subsysteemservice van lokale beveiligingsautoriteit (lsass.exe)
Nadat het systeem opnieuw is opgestart, kan de gebruiker zijn computer niet gebruiken, tenzij hij de beschadigde MBR-records herstelt. Wanneer een systeembeheerder onderzoek doet, zijn de meest voorkomende scenario’s dat ze het losgeldbriefje vinden en denken dat het systeem is aangevallen door ransomware.
Dus, wat vind je van deze nep-ransomware? Deel eenvoudig al uw mening en gedachten in het commentaargedeelte hieronder.