[You must be registered and logged in to see this image.]Наскоро открит вариант на зловредната програма KillDisk действа като рансъмуер вместо да изтрива данните, предават специалистите от CyberX.
Ако името на зловредната програма не ви звучи познато, то нека припомним, че тя се използва от известно време от APT (advanced persistent threat) групировката
Sandworm Team, a от скоро и от друга група, известна с името Telebots, която се предполага, че е свързана с първата. Групировката действа от територията на Русия, а някои я свързват директно с Кремъл. Те използваха KillDisk в сложни и поетапни атаки към енергопреносната мрежа на Украйна, което причини срив в части от нея. Настоящият вариант на програмата не действа обичайно – изтривайки данните на системата и правейки я нефункционална. Вместо това, тя заключва файловете, криптирайки ги с помощта на AES и RSA – всеки файл е криптиран с помощта на AES, като след това и с 1028-битов RSA ключ.
CyberX смятат, че този вариант на зловредната програма е насочен към големи предприятия, опериращи със системи за индустриален контрол (ICS, industrial control systems), а исканият откуп е повече от сериозен – BTC222 или над $200 000, като към настоящия момент биткойн портфейла, посочен за изплащане на откуп е празен, което означава, че вероятно все още няма жертви на зловреда.
Програмата изисква повишени привилегии, за да функционира. При своя старт, тя бива регистрирана като процес, като търси за наличието на антивирусни приложения и програми за анализ на код, за да ги избегне.
Sandworm Team действа от няколко години, като през 2014г. атакува ICS системи в САЩ чрез програмата BlackEnergy. През миналата и в края на настоящата година, групировката се предполага, че е отговорна за атаки над енергопреносната мрежа на Украйна и местни банки с цел саботаж. Именно спирането на тока на хиляди украинци около миналата Коледа се смята и за първата кибератака над гражданска инфраструктура.
CyberX смятат, че индустриални предприятия, отговарящи за поддръжката на критично важна инфраструктура са идеалния обект на атака. На първо място, тези компании разполагат със сериозни средства. Нарушаването на работата на работните процеси би имало непредсказуеми последици, не само за компанията и предприятието, но и за живота на работещите в предприятието или околната среда. Освен това, много е вероятно една такава компания да скрие истината за инцидента, поради страх, че могат да бъдат наложени санкции от секторния регулатор. Оперативната технологична среда се различава от тази на една IT и някои от системите и процесите не могат да бъдат възстановени с подготвен бекъп сценарий. И не на последно място, служителите в този тип предприятия не се предполага да са специалисти по информационна сигурност и не са така бдителни за подозрителни действия в това отношения.
/kaldata.com