Výskumníci z bezpečnostnej spoločnosti ESET objavili variant škodlivého kódu KillDisk, ktorý útočí aj na operačný systém Linux.
KillDisk je škodlivý kód, ktorý bol na sklonku roka 2015 použitý pri útoku na ukrajinskú kritickú infraštruktúru a v decembri 2016 pri útoku na ciele, ktoré sú súčasťou ukrajinského finančného sektora. Nový variant najskôr zašifruje dáta na zariadení, vyžiada si za ich odšifrovanie veľmi vysoké výkupné a následne zariadeniu neumožní naštartovať. Ak sa však obete rozhodnú výkupné vo výške takmer 200-tisíc eur zaplatiť, aj tak sa k svojim dátam pravdepodobne nedostanú. ESET pripomína, že operačný systém Linux nie je používaný len v desktopových zariadeniach ale hlavne na serveroch.
KillDisk je deštruktívny škodlivý kód, ktorý je neslávne známy tým, že ho BlackEnergy skupina použila ako súčasť svojho úspešného útoku na ukrajinskú elektrickú rozvodnú sieť v decembri 2015. Mesiac predtým s ním zaútočili na jednu z hlavných ukrajinských tlačových agentúr. V decembri bol zase ESET svedkom použitia tohto škodlivého kódu na Ukrajine pri útokoch na finančný sektor a lodnú prepravu. Funkcia šifrovania súborov na zariadeniach s operačných systémoch Linux je však pri KillDisku novinkou.
„Tieto posledné ransomwarové varianty KillDisku nedokážu útočiť len na windowsové systémy ale aj na linuxové zariadenia, čo je určite niečo, s čím sa nestretávame každý deň,“ vysvetľuje Robert Lipovský, výskumník škodlivého kódu zo spoločnosti ESET. Po zašifrovaní obsahu zariadenia sa obeti zobrazí správa začínajúca sa provokatívnym slovným spojením „mrzí nás to“. Obeť sa z nej dozvedá, že pre odšifrovanie dát musí zaplatiť výkupné vo výške 222 bitcoinov, čo je aktuálne takmer 200-tisíc eur. Tomuto typu škodlivého kódu sa hovorí ransomware.
Ani zaplatenie vysokého výkupného však obeti nevráti stratené dáta. „Musíme podčiarknuť, že kriminálnici, ktorí sú za KillDiskom nedokážu obetiam dodať dešifrovacie kľúče, ktorými by údaje odšifrovali,“ varuje Lipovský. Šifrovacie kľúče vytvorené na infikovanom zariadení totiž nie sú ukladané ani v zariadení a ani nie sú zaslané na riadiaci server, ktorý ovláda útočník.
Pridanie ransomware funkcionality do tohto škodlivého kódu je nezvyčajné, keďže predchádzajúce útoky boli špionážnymi a sabotážnymi operáciami. Podľa odhadov ESETu ide skôr o posledný klinec do hrobu než o skutočnú ransomware kampaň, keďže tak vysoké výkupné zrejme nik nezaplatí a zároveň kriminálnici nie sú schopní efektívne dešifrovať súbory.
„Naša rada je vždy rovnaká. Ak ste sa stali obeťou ransomwaru, neplaťte. Neexistuje totiž žiadna záruka, že sa k údajom naozaj dostanete. Jediným bezpečným spôsobom, akým si poradiť s ransomwarom, je prevencia – vzdelávanie, aktualizovanie a patchovanie systémov, používanie spoľahlivého bezpečnostného riešenia a hlavne zálohovania s tým, že testujete, či sa dáta zo zálohy dajú opätovne obnoviť,“ radí Lipovský.