miércoles, 17 de enero de 2018

KillDisk, un falso ransomware, empieza a golpear con fuerza


El ransomware se ha convertido en uno de los tipos de malware más peligrosos en los últimos meses. Hemos visto casos que han afectado a importantes compañías por todo el mundo. Como sabemos, los ciberdelincuentes secuestran los archivos y carpetas de los usuarios. A cambio piden un rescate económico. En este artículo vamos a hablar de KillDisk, un malware que se hace pasar por un falso ransomware y que está afectando principalmente a las entidades financieras.

KillDisk, convertido en un falso ransomware


Se trata en realidad de una nueva versión del malware KillDisk. Su función es la de borrar discos duros. Sin embargo en esta ocasión la variante se hace pasar por un ransomware. Es decir, borra deliberadamente el disco duro, pero además incluye una nota de rescate. Un intento de engañar a la víctima para que piensen que se trata de un ransomware y que si pagan, recuperarán sus carpetas.

KillDisk es uno de los tipos de malware más letales. El borrado de discos duros es su función. Algo que, evidentemente, daña y mucho a los usuarios. Ha sido utilizado principalmente por grupos de ciberespionaje, como Telebots.

Este es el mismo grupo que creó el malware Sandworm que atacó equipos industriales en Estados Unidos. También el malware BlackEnergy que se usó en ataques contra la red eléctrica de Ucrania, y el ransomware NotPetya que golpeó a muchas compañías en junio de 2017.

KillDisk se desarrolló inicialmente como un malware de borrado de disco que se implementó en las últimas etapas de una infección, por lo que los atacantes podrían usarlo para ocultar sus huellas limpiando discos y destruyendo toda evidencia forense.

Este fue el objetivo principal de KillDisk cuando se utilizó junto con el malware BlackEnergy durante los ataques de Telebots a la red eléctrica ucraniana en diciembre de 2015 y diciembre de 2016.

Cambios


A finales de 2016, KillDisk recibió un lavado de cara y comenzó a posar como ransomware en ataques contra bancos. También se descubrió una variante de Linux poco después, que era utilizada contra los mismos objetivos.

Ahora, Trend Micro informa sobre nuevos ataques de KillDisk. La compañía dice que ha detectado una nueva versión, pero los cambios son mínimos respecto a ataques pasados.

La nota de rescate sigue estando ahí, así como las funciones de borrado del disco. Lo único que ha cambiado son los objetivos, con KillDisk desplegado en las redes de las firmas financieras de América Latina, lejos de los objetivos anteriores de Ucrania donde se detectó el malware en los últimos tres años.

Por el momento, Trend Micro no dijo si estos ataques más recientes fueron llevados a cabo por el equipo de TeleBots, o por algunos imitadores que intentan engañar a los investigadores y desorientarlos.

Pero al igual que en ataques anteriores, los investigadores también notaron que KillDisk no era el principal malware desplegado.

Funcionamiento


Según los investigadores, KillDisk, una vez entra en el equipo, se carga en la memoria, elimina los archivos y cambia el nombre. Luego, sobrescribirá los primeros 20 sectores del Registro de inicio maestro (MBR) de cada dispositivo de almacenamiento con 0x00 bytes.

Después de eso, volverá a escribir los primeros 2800 bytes de cada archivo con el mismo 0x00 bytes en cada unidad de almacenamiento fijo y extraíble. Los únicos archivos que quedan intactos son los archivos y las carpetas que se encuentran en los siguientes directorios, todos ellos relacionados con las operaciones del sistema operativo:
  • WINNT
  • Users
  • Windows
  • Program Files
  • Program Files (x86)
  • ProgramData
  • Recovery (case-sensitive check)
  • $Recycle.Bin
  • System Volume Information
  • old
  • PerfLogs

Posteriormente inicia un temporizador de 15 minutos y mata los siguientes procesos, que son fundamentales para el sistema operativo. Esto hace que el equipo se reinicie sin la opción del usuario:
  • Client/server run-time subsystem (csrss.exe)
  • Windows Start-Up Application (wininit.exe)
  • Windows Logon Application (winlogon.exe)
  • Local Security Authority Subsystem Service (lsass.exe)

Una vez que el sistema se reinicia, el usuario no podrá usar su equipo a menos que repare los registros MBR dañados. Cuando el administrador del sistema investiga, los escenarios más comunes son que encuentren la nota de rescate y creean que el sistema fue atacado por un ransomware.