Black Energy schlägt wieder zu

Die Ransomware „Killdisk“ verschlüsselt nicht nur Windows-, sondern neu auch Linux-Rechner

Datum
12. Februar 2017
Autor

Die Entwickler der Sicherheitssoftware ESET und das Sicherheitsteam CyberX haben eine weiterentwickelte Variante des Schadprogramms KillDisk entdeckt.

Killdisk Windows Ransom screen

KillDisk Erpressungsbotschaft

KillDisk wurde im Dezember 2015 bekannt. Die Gruppe BlackEnergy nutzte die Software für den erfolgreichen Angriff auf das ukrainische Stromnetz. Vermutlich dieselbe Gruppe soll im zweiten Halbjahr 2016 Cyberattacken auf ukrainische Finanzunternehmen durchgeführt haben.

Eines der beim Angriff verwendeten Werkzeuge ist die neue KillDisk-Variante. Zu den Neuerungen gehört, dass neben Windows- nun auch Linux-Maschinen verschlüsselt werden. Dateien werden mit dem AES-Verfahren verschlüsselt. Die für die Entschlüsselung notwendigen Schlüssel werden weder gespeichert noch an die Server der Hacker gesendet. Selbst wenn Opfer das verlangte Lösegeld von 222 Bitcouns (rund 220.000 EUR) bezahlen, können ihre Dateien nicht mehr entschlüsselt werden.

Einschätzung

Hackergruppen lernen dazu. Und Bedrohungen werden immer weiter verbessert. Die Ausweitung auf das Betriebssystem Linux ist im Zuge der Weiterentwicklung nur konsequent. Gleichermassen konsequent sollten die Anlagenbetreiber den Schutz auf alle Systeme ausweiten.

Der initiale Angriffsvektor sind Spear-Phishing-Mails mit schadhaften Excel-Dateianhängen. Danach ermittelt die Schadsoftware Anmeldedaten der Benutzer von bereits infizierten Rechnern und nutzt diese, um weitere Rechner zu infizieren.

Robert Lipovský, Senior Researcher bei ESET, sagt dazu: „KillDisk dient als weiteres Beispiel dafür, warum die Zahlung von Lösegeld nicht als Option betrachtet werden sollte. Im Umgang mit Kriminellen gibt es keine Garantie dafür, dass Sie Ihre Daten zurückbekommen. In diesem Fall hatten die Verbrecher nie die Absicht, ihr Versprechen zu halten. Die einzige sichere Art und Weise des Umgangs mit Ransomware ist die Prävention. Schulungen, Systeme aktuell und vollständig gepatcht halten, eine ernstzunehmende Sicherheitslösung einsetzen, Daten sichern und die Fähigkeit zur Wiederherstellung testen sind die Komponenten einer echten Versicherung.“

Zielgruppen

  • IT- und IS-Verantwortliche
  • Spezialisten
  • Management
  • Interessierte Kreise