KillDisk, il virus che devasta gli hard disk, ora chiede un riscatto

Uno dei trend negativi per i quali il 2016 sarà ricordato è senz'altro quello dei ransomware che, oltre ad avere ricevuto una notevole diffusione, vengono usati anche per potenziare vecchi virus: come nel caso di KillDisk, il malware più temuto dalle banche.

KillDisk, il virus che devasta gli hard disk, ora chiede un riscatto

Certamente, uno dei trend meno piacevoli – per i quali sarà ricordato il 2016 – sarà costituito dal notevole propagarsi dei ransomware, i virus che richiedono un riscatto per sbloccare i dati che hanno preso in ostaggio. Questi ultimi, oltre a mietere sempre più vittime, e con sempre maggior frequenza, vengono – ormai – utilizzati anche per “impreziosire” virus già esistenti: come nel caso di KillDisk che, ormai, a tutti gli effetti può essere considerato ANCHE un ransomware

Il virus KillDisk è il frutto di un team di hacker molto esperti, i TeleBots, specializzati in attività di cyperspionaggio: nel 2014, i cybercriminali in questione flagellarono gli Stati Uniti, avvalendosi del malware “Sandworm”, che colpì prevalentemente i sistemi di controllo industriale, e quelli di controllo e acquisizione dati (rispettivamente ICS, e SCADA). In seguito, nel 2015, si occuparono di far danni anche in Ucraina, dove le loro vittime principali furono importanti banche, ed aziende del settore energetico, minerario, e della comunicazione. 

La loro ultima creazione è stata il virus “KillDisk” che, dopo essersi propagato tramite il canale degli allegati email, scandagliava il computer alla ricerca di dati sensibili, personali e/o finanziari, da sottrarre e, dopo aver acquisito questi ultimi, onde non lasciare alcuna traccia di sé, procedeva a cancellare l’intero hard disk, impedendo – di conseguenza – al computer di avviarsi: un tipico caso di “nomen omen” informatico…

Negli ultimi tempi, però, KillDisk ha subito una mutazione: il team di sicurezza informatica “CyberX” ha notato la comparsa, nel codice del malware, di un modulo con metodologie operative degne di un ransomware. Nello specifico, KillDisk colpisce sempre nello stesso modo, procede a scansionare lo storage alla ricerca di file importanti, e – dopo averli trovati ed acquisiti – comincia a criptarli con un algoritmo invalicabile: in particolare, i file sensibili – individuati tramite le estensioni e le directory – vengono criptati con una chiave AES, che – a sua volta – viene codificata con una chiave RSA-1028 di tipo pubblico. Insomma: una chiusura a “doppia mandata”.

Terminato il proprio compitino, KillDisk mostra un avviso nel quale invita a comunicare il proprio identificativo ad una mail del team, onde conoscere le condizioni del riscatto: condizioni davvero esose. I TeleBots, infatti, sono soliti pretendere – per “liberare” i dati – qualcosa come 222 BitCoin? Cifra esigua? Mica tanto: al cambio attuale fanno poco meno di 20 mila euro (194000)!

Bleeping Computer, portale che si occupa di assistenza informatica, ha ipotizzato che – dietro il nuovo modus operandi di KillDisk – si nasconda, vista anche l’entità del riscatto, il proposito di colpire le banche o, comunque, una “clientela selezionata” che, pur di evitare lo scandalo della rivelazione dei dati sottratti, sarebbe persino disposta a pagare cifre così esorbitanti quali quelle, appunto, richieste dagli hacker di turno. 

L’unica consolazione, se così si può dire, nei confronti di KillDisk, è che il malware in oggetto è di assai facile individuazione, visto che persino un antivirus basilare come Windows Defender riesce a scovarlo per tempo. In ogni caso, a meno di non essere una banca, o un grosso istituto finanziario, potremo tutti dormire sonni tranquilli. Per ora. 

Continua a leggere su Fidelity News