Une nouvelle variante de KillDisk acquiert des capacités de chiffrement des fichiers

Une nouvelle version du malware destructeur de KillDisk cible des organisations en Amérique latine. KillDisk existe depuis plusieurs années et a été utilisé dans des attaques orchestrées par BlackEnergy et ciblant le secteur énergétique ukrainien en 2015.

Initialement conçu pour effacer les disques durs et rendre les systèmes inexploitables, le logiciel malveillant a acquis des capacités de chiffrement de fichiers à la fin de 2016, avec une variante du cryptovirus ciblant Linux repérée peu de temps après. 

Ce malware a été utilisé lors d'une attaque déjouée sur le système d'une organisation connectée au réseau SWIFT (Society for Worldwide Interbank Financial Telecommunication) en mai 2018. 

Il a été créé à l'aide de NSIS (Nullsoft Scriptable Install System) et nommé volontairement «MBR Killer». Aucune autre évolution nouvelle ou notable n'a été découverte dans l'échantillon analysé et aucune infrastructure de commande et de contrôle (C & C) ou de communication n'a été observée. De plus, aucune charge utile de type cryptovirus n'a été trouvée dans cette variante.

MBR Killer peut effacer tous les disques durs physiques connectés sur le système infecté. Pour effacer le MBR, il extrait l'adresse hexadécimale de la première partition du disque dur, écrase le premier secteur du disque (512 octets) avec "0x00", tente la même routine sur tous les disques durs puis force la machine à s'arrêter.

Pour se protéger contre ce type d'attaque, il est conseillé d'identifier et remédier aux failles de sécurité, implémenter le principe du moindre privilège et mettre en œuvre une stratégie proactive de réponse aux incidents.