Reti industriali a rischio con il nuovo KillDisk-Ransomware

Un team di ricerca della CyberX Labs ha scoperto una nuova variante di KillDisk, un malware sviluppato dalla TeleBots, un gruppo di criminali informatici. Nel 2014 sono stati autori di una serie di attacchi che hanno compromesso il sistema industriale di controllo (ICS) americano e le reti SCADA utilizzando una variante del malware BlackEnergy. Nel dicembre del 2014 il Dipartimento di Sicurezza degli Stati Uniti (DHS) riscontrò numerosi attacchi informatici da parte di TeleBots atti a compromettere l’interfacce uomo-macchina (HMIs) di certo numero di società statunitensi. L’HMIs sono usate per controllare processi industriali critici come generatori di potenza e produzione chimica, si sospetta che anche gli attacchi ai sistemi di sicurezza bancarie ucraine avvenuti fra dicembre 2015 e gennaio 2016 siano opera di questa gang.

Grazie ad un reverse-engineering eseguito dal team CyberX sulla nuova variante del malware si è potuto scoprire che dopo l’infezione, causata da falsi file Office presenti all’interno di email, viene mostrata una finestra pop-up con la richiesta di 222 Bitcoin, equivalenti a circa 206.000 $, in cambio della chiave di decrittazione.

KillDisk/Ransomware crittografa i dischi locali e le eventuali cartelle mappate di rete condivise con tutto il sistema, utilizzando una combinazione di cifratura con chiave pubblica RSA 1028 e algoritmi condivisi su chiave AES. Per il contatto gli hacker utilizzano una email anonima appoggiandosi al servizio offerto dal sito lelantos.org