Especialistas da Trend Micro, dentre eles o brasileiro Alfredo Oliveira, anunciam a identificação de uma nova variante do KillDisk (TROJ_KILLDISK.IUB), um malware, direcionado contra organizações financeiras da América Latina, que apaga o disco rígido. 

A análise inicial (ainda em andamento) revela que pode ser um componente de um kit de malware, ou parte de um ataque maior.

O KillDisk, juntamente com o multifuncional e kit de espionagem cibernética BlackEnergy, foi usado em ataques cibernéticos no final de dezembro de 2015 contra a indústria de energia da Ucrânia e também contra suas indústrias bancária, ferroviária e de mineração. Desde então o malware se transformou em uma ameaça usada para extorsão digital, afetando as plataformas Windows e Linux. Assim como no caso Petya, o bilhete de resgate era uma armadilha: o KillDisk substitui e exclui arquivos (e não armazena as senhas de criptografia no disco ou online), portanto é impossível recuperar os arquivos codificados.

Como é lançado no sistema?

Esta variante do KillDisk parece ter sido intencionalmente lançada por outro processo/agente de ataque. O caminho do arquivo está hardcoded no malware (c:\windows\dimens.exe), ou seja, está firmemente ligado ao instalador ou faz parte de um pacote maior.

O KillDisk também conta com um processo de autodestruição, mas isso não significa que o malware se deleta. Ele renomeia seu arquivo para c:\windows\0123456789 durante a execução. Esta série é codificada na amostra analisada. O caminho do arquivo deve ser c:\windows\dimens.exe (também codificado). Consequentemente, caso a análise do disco seja executada e o dimens.exe seja pesquisado, o arquivo recuperado será o arquivo recém-criado com 0x00 bytes.

Como exclui os arquivos?

Esta nova variante do KillDisk passa por todas as unidades lógicas (fixas e removíveis) a partir do drive b:. Se a unidade lógica tiver o diretório do sistema, os arquivos e pastas nos diretórios e subdiretórios não serão excluídos:

• WINNT
• Users – Usuários
• Windows
• Program Files – Arquivos de Programas
• Program Files (x86) – Arquivos de Programas (x86)
• ProgramData
• Recovery (verificação sensível a maiúsculas)
• $Recycle.Bin
• System Volume Information
• old
• PerfLogs

O arquivo é renomeado de forma aleatória antes do arquivo ser deletado. O KillDisk substitui os primeiros 0x2800 bytes do arquivo e outro bloco de 0x2800-bytes por 0x00.

Como apaga o disco?

O malware tenta apagar o \\.\PhysicalDrive0 to \\.\PhysicalDrive4. Ele lê o Master Boot Record (MBR) de cada dispositivo que abre com sucesso, passa a substituir os primeiros setores 0x20 do dispositivo por “0x00” e usa as informações do MBR para causar mais danos nas partições listadas. Se a partição encontrada não for extendida, ele sobrescreve os primeiros 0x10 e os últimos setores do volume real. Caso encontre uma partição extendida, ele irá substituir o Extended Boot Record (EBR), juntamente com as duas partições extras apontadas.

O que acontece depois que o MBR, os arquivos e as pastas são substituídos e/ou excluídos?

O KillDisk tem um parâmetro numérico que determina quantos minutos (15 sendo o padrão) aguardará antes de desligar a máquina afetada. Para tentar reiniciar a máquina, ele tenta encerrar os processos abaixo:

• Subsistema de tempo de execução cliente/servidor (csrss.exe)
• Aplicativo de Inicialização do Windows (wininit.exe)
• Aplicativo de Logon do Windows (winlogon.exe)
• Serviço de Subsistema de Autoridade de Segurança Local (lsass.exe)

Isso provavelmente é feito para forçar a máquina a reinicializar ou para induzir o usuário a reiniciar a máquina. Por exemplo, desligar o csrss.exe e o pwininit.exe fará aparecer a tela azul da morte (BSOD). Ao desligar o winlogon.exe a máquina pede ao usuário para fazer logon novamente, e desligar o lsass.exe fará a máquina reinicializar. O KillDisk também usa a função ExitWindowsEx para fazer com que a máquina seja reinicializada à força.

O que as organizações podem fazer?

As capacidades destrutivas do KillDisk e o fato de que pode ser apenas parte de um ataque maior são evidências da importância de uma proteção em camadas: proteger os perímetros – desde gateways, endpoints e redes até os servidores – para reduzir ainda mais a superfície de ataque. Veja abaixo uma lista de boas práticas que devem ser adotadas pelas organizações.

• Aplique as atualizações e correções ao sistema e aos aplicativos para impedir que invasores explorem falhas de segurança; estude usar o método de correção virtual em sistemas antigos.
• Sempre faça backup dos dados e garanta a integridade deles.
• Adote o princípio de hierarquização do privilégio. A segmentação da rede e a categorização de dados ajudam a evitar movimentos laterais e futuras exposições.
• Implemente mecanismos de segurança, como controle de aplicativos/whitelisting e monitoramento de comportamento, que podem impedir que programas suspeitos sejam executados e impedir modificações anômalas do sistema.
• Monitore proativamente o sistema e a rede; ative e use firewalls, bem como sistemas de prevenção e detecção de intrusão.
• Implemente uma política gerenciada de tratamento de incidentes que impulsionará estratégias proativas de tratamento; fortaleça ainda mais a postura de segurança da organização cultivando um local de trabalho com conscientização cibernética.

O Trend Micro™ XGen™ Security combina técnicas multigeracionais de defesa contra ameaças diversas em centrais de dados, ambientes em nuvem, redes, e endpoints. Com machine learning de alta fidelidade para proteger o gateway e o endpoint de dados e aplicativos e proteger cargas de trabalho físicas, virtuais e em nuvem. Com recursos de filtragem web/URL, análise comportamental e sandboxing personalizado, o XGen fornece proteção contra as recentes ameaças de objetivo específico que contornam controles tradicionais e exploram vulnerabilidades conhecidas, desconhecidas ou não divulgadas. Inteligente, otimizado e conectado, o XGen alimenta o conjunto de soluções de segurança da Trend Micro: Hybrid Cloud Security, User Protection, e Network Defense.

Além disso, o Trend Micro™ Deep Discovery™ bloqueia de forma proativa qualquer intrusão ou ataque associado a essa ameaça.