E' certamente vero che i ransomware stanno perdendo terreno nella classifica degli strumenti preferiti dai cyber criminali per ammassare profitti. Anche se gli attaccanti propendono ad oggi più per quanto attiene al mondo del "mining" di cripto valute (ne abbiamo diffusamente parlato qui e qui), cioè non significa che i ransomware siano scomparsi. Anzi.
Ecco KillDisk
KillDisk non è propriamente una novità: inizialmente era un Disk Wiper, ovvero non un ransomware
ma uno strumento pensato per cancellare senza possibilità di recupero i file presenti sulle macchine infette, probabilmente anche allo scopo di rendere irrintracciabile la fonte dell'attacco. Un vero e proprio strumento di sabotaggio più che di ricatto.
Oggi KillDisk è tornato alla carica, colpendo duramente svariate società che operano nel settore finanziario in America latina. L'attuale è però una nuova versione di KillDisk, riadattata per emulare un ransomware. Chiede un riscatto, ma non si limita a criptare i file, li cancella comunque. Ed è una "versione sorella" di NotPeya,anch'esso un finto ransomware che ha devastato lo scorso anno uffici e aziende in Ucraina. Si sospetta che dietro KillDisk ci sia lo stesso gruppo di pirati informatici di origine russa Telebots, specializzati in cyber-sabotaggio e che sono balzati agli onori delle cronache due anni fa con Sandworm (un malware pensato per attacchi a impianti industriali) e per l'attacco che ha messo in ginocchio la rete energetica in Ucraina nel 2015.
Come funziona KillDisk?
Liberamente riadattato e tradotto da securityinfo.it |
La nuova variante prende di mira il Master Boot Record (MBR) degli hard disk e ne sovrascrive alcuni settori: cancella inoltre tutti i file e le cartelle nelle partizioni presenti sul computer. Conclusa la distruzione dei file, KillDisk programma il riavvio del computer (suppergiù dopo 15 minuti dalla cancellazione dei file): da quel momento il computer è inutilizzabile. I dati resteranno comunque irrecuperabili, anche in caso di rispristino dell'MBR.
Il parametro di KillDisk per impostare il riavvio della macchina infetta. |
Nessun commento:
Posta un commento