KillDisk revient, transformé en rançongiciel

KillDisk est de retour, mais il a muté. Les chercheurs de CyberX se sont penchés sur un nouvel échantillon. Pour découvrir qu’il affiche une demande de rançon de 222 bitcoins en l’échange du déchiffrement des fichiers pris en otage. Le logiciel malveillant s’attaque aux supports de stockage directement connectés au poste infecté ainsi qu’aux volumes réseau. Chaque fichier est chiffré avec sa propre clé AES.

Selon CyberX, la nouvelle variante de KillDisk est à attribuer au gang TeleBots, une spin-off du groupe Sandworm à l’origine du logiciel malveillant BlackEnergy. Début janvier 2016, Eset avait alerté sur la reprise d’activité de ce logiciel, en Ukraine, où il était alors notamment utilisé pour provoquer des pannes d’électricité. Il a en particulier été mis à contribution pour effacer certains systèmes compromis dans le cadre d’une attaque ayant conduit à une vaste coupure d’électricité dans la région d’Ivano-Frankivsk fin 2015.

Mais le groupe TeleBots semble avoir décidé de délaisser les systèmes industriels au profit de cibles bien plus rentables : des entreprises du secteur des services financiers, mais toujours en Ukraine. Eset estime que le groupe opère toujours dans une approche de cyber-sabotage. L’éditeur relève également quelques innovations des TeleBots, comme l’utilisation d’un boîte aux lettres outlook.com comme moyen de communication et de contrôle par les opérateurs du logiciel malveillant, ou encore celle de l’API pour automates de Telegram. Et leur trousse à outil s’avère assez étoffée, entre modules de vol de mots de passe – y compris sur le trafic réseau –, et de reconnaissance de l’infrastructure via l’annuaire, notamment. l