KillDisk è un malware ben noto agli esperti di sicurezza che, sino ad ora, è stato impiegato per compiere operazioni di cyber-spionaggio e cyber-sabotaggio. Il normale modus operandi del malware determina la completa cancellazione dei dati memorizzati nell’hard disk con il duplice scopo di rendere la macchina non più avviabile e di cancellare dal sistema le tracce lasciate dagli hacker.
Prima di avviare la cancellazione dei dati memorizzati nel supporto di archiviazione, infatti, gli hacker mediante un apposito trojan riescono ad acquisire dati importanti, come password e file. Sin qui nulla di nuovo, la novità relativa a KillDisk riguarda la recente ”mutazione”, ben documentata dal team di sicurezza CyberX, con l’aggiunta di una componente ransomware.
KillDisk nello specifico procedere alla crittografia dell’intero supporto di memoria, utilizzando un algoritmo crittografico molto complesso – ogni file viene crittografato con una chiave AES, e, a sua volta, la chiave AES viene crittografata con una chiave pubblica RSA-1028. In sintesi, la vittima ha ben poche speranze di riuscire a tornare in possesso dei propri file senza pagare l’oneroso riscatto pari a 222 Bitcoin, ovvero circa 194000 euro.

Il messaggio con il quale la nuova variante di KillDisk chiede il pagamento di un riscatto di 222 bitcoin per tornare in possesso dei file criptati.

L’evoluzione di KillDisk da ”semplice” malware a ransomware, come mette in evidenza Bleeping Computer, è una mossa determinata dalla necessità di mimetizzare ulteriormente le tracce degli hacker. Le vittime – che si ricorda – coincidono anche, se non perlopiù, grandi aziende come, ad esempio, istituti bancari – possono essere erroneamente portati a credere che si tratti solo di un ransomware ed essere portati a risolvere la vicenda utilizzando un backup dell’unità o, in alternativa, pagando il riscatto per evitare una spiacevole esposizione mediatica. Come detto, KillDisk, nel frattempo, fa anche altro, a partire dalla sottrazione di dati sensibili.

A gestire gli attacchi effettuati con KillDisk è un gruppo che si fa chiamare Sandworm o TeleBots e che ha messo a segno un attacco informatico contro diverse banche ucraine nella seconda metà del 2016. Il canale di propagazione del malware ha coinciso con gli allegati di posta elettronica, mentre l’operazione si è conclusa con una preliminare raccolta dei dati sensibili e la successiva cancellazione, riscrittura dei file e delle loro estensioni per rendere le macchine inutilizzabili.

Il 2016 si conclude con un poco incoraggiante incremento della diffusione dei ransomware che, oltre ad essere declinati in molteplici varianti – si veda Popcorn Time – e pronti ad invadere i dispositivi IoT, vengono utilizzati per ”potenziare” preesistenti malware, come dimostra l’evoluzione di KillDisk.

Al momento, l’utente finale può dormire sonni relativamente tranquilli, KillDisk può essere rilevato da Windows Defender e, come detto, le vittime del malware/ransomware non coincidono con utenti finali scelti a caso, ma con aziende e importanti istituti finanziari. Al tempo stesso, ad impensierire è l’ennesima dimostrazione dell’inesauribile creatività dei gruppi hacker e la capacità di combinare diverse tecniche d’attacco per creare non pochi grattacapi alla vittima.

 

Sebastiano Vangone