image

KillDisk-malware versleutelt Linux-computers

donderdag 5 januari 2017, 15:24 door Redactie, 17 reacties
Laatst bijgewerkt: 05-01-2017, 16:34

Onderzoekers waarschuwen voor nieuwe malware die Linux-computers versleutelt en machines onbruikbaar achterlaat. Het gaat om varianten van de KillDisk-malware, zo meldt het Slowaakse anti-virusbedrijf ESET. Oorspronkelijk was de KillDisk-malware ontwikkeld om bestanden op computers te wissen. De malware werd onder andere ingezet tegen Oekraïense energiebedrijven.

De nu ontdekte varianten blijken zich als ransomware te gedragen en versleutelen bestanden voor losgeld. Hiervoor wordt een bedrag van 222 bitcoin gevraagd, wat met de huidige wisselkoers 200.000 euro is. De varianten richten zich niet alleen op Windows-computers, ook systemen met Linux zijn het doelwit. "Iets wat we zeker niet elke dag zien", zegt Robert Lipovsky van ESET. De Linux-versie laat de ransomwaremelding binnen de GRUB-bootloader zien. Hiervoor wordt in de bootloader aanwezige informatie overschreven.

Verder worden allerlei mappen op het systeem zelf versleuteld. Na een herstart zal het systeem dan ook niet meer opstarten, aldus de onderzoekers. Zelfs als slachtoffers het enorme bedrag zouden betalen krijgen ze geen toegang tot hun gegevens. De benodigde decryptiesleutels worden namelijk nergens opgeslagen. Bij de implementatie van de encryptie hebben de makers echter een fout gemaakt, waardoor het toch mogelijk is om de bestanden te herstellen, hoewel dit niet eenvoudig is, waarschuwt Lipovsky.

Update

ESET laat in een reactie aan Security.NL weten dat de Linux-versie van de malware waarschijnlijk via gerichte phishingmails wordt verspreid, net als met de Windows-versie het geval is.

Reacties (17)
05-01-2017, 15:30 door Anoniem
Iets bekend over een patch of preventie?
05-01-2017, 15:46 door Anoniem
En hoe krijgt de ransomware root access om grub te gebruiken?
05-01-2017, 16:43 door Anoniem
Door Anoniem: En hoe krijgt de ransomware root access om grub te gebruiken?
sudo voor het commando zetten wellicht?
op veel hobbysystemen werkt dat gewoon...
05-01-2017, 16:59 door Anoniem
Het maakt niet uit dat na een herstart de Linux bak niet meer opstart.
Ga eerst naar het BIOS/UEFI en gooi Ubuntu eraf in de opstartmap. Daarna DVD met Linux image in de speler doen en de stroom aandoen. Opstarten en installeren maar. Na een half uurtje staat bij mij alles er weer op. Oh ja, kopieen worden nooit bewaard op een computer. Altijd extern.
05-01-2017, 17:27 door Anoniem
Door Anoniem:
Door Anoniem: En hoe krijgt de ransomware root access om grub te gebruiken?
sudo voor het commando zetten wellicht?
op veel hobbysystemen werkt dat gewoon...

Met een wachtwoordloze sudo verdien je het bijna om uitgeschakeld te worden.
05-01-2017, 17:30 door Anoniem
Door Anoniem: Het maakt niet uit dat na een herstart de Linux bak niet meer opstart.
Ga eerst naar het BIOS/UEFI en gooi Ubuntu eraf in de opstartmap. Daarna DVD met Linux image in de speler doen en de stroom aandoen. Opstarten en installeren maar. Na een half uurtje staat bij mij alles er weer op. Oh ja, kopieen worden nooit bewaard op een computer. Altijd extern.

Ik restore gewoon mijn backup.
05-01-2017, 18:15 door karma4
Door Anoniem: En hoe krijgt de ransomware root access om grub te gebruiken?
Genoeg mogelijkheden te verzinnen. Wat wij nog niet weten betekent niet dat het er niet is en dat een bkackhat die wel al heeft. De shellshock bijvoorbeeld is maar een pleister op het echte issue van een she'll gebruik in apache op het user gebeuren per definitie onder root.

Door Anoniem: ... Daarna DVD met Linux image in de speler doen en de stroom aandoen. Opstarten en installeren maar. Na een half uurtje staat bij mij alles er weer op. ....
Prima oplossing voor jou persoonlijk thuis. Doe nu even alle buren en bekenden er bij. Kijk dan eens bij het bedrijfsleven die voor elke ca 3 man een server neerzetten. Elke app zijn eigen server. Dan zijn het er zo 9000 of meer die je mag nagaan Met dat half uurtje zit je zo op een half jaar voor je bij de laatste bent. Probeer het eens met 1000 werkstations dat is al een aardige planning als je het kan voorbereiden.
05-01-2017, 22:47 door ph-cofi
Deze pagina:
https://www.bleepingcomputer.com/news/security/killdisk-ransomware-now-targets-linux-prevents-boot-up-has-faulty-encryption/
...suggereert dat KillDisk op Linux bakken kan binnenwandelen na "hacking PPA's". De Mint thuisgebruikers hebben al eens een dingetje gehad met een gehackte distributie en tijdens updates staat de root-sluis wel wagenwijd open, ja.
Misschien is een paar dagen updates uitstellen een optie om de kat uit de boom te kijken? Is het verdacht dat ESET geen openheid geeft over de besmettingsstappen?
05-01-2017, 23:18 door Anoniem
Ik snap ook nog steeds niet dat de debian/ubuntu achtige linuxen met sudo werken, laat staan dat sudo zonder paswoord kan.
Het lijkt het veiligheid visie loze beleid van dat bekende andere os wel.
Gewoon terug naar en een root paswoord en een eerste gebruiker zonder root rechten. ZOals dat bij de echte unixen ook standaard is. Dacht ik toch.
06-01-2017, 00:54 door Anoniem
Door ph-cofi: Deze pagina:
https://www.bleepingcomputer.com/news/security/killdisk-ransomware-now-targets-linux-prevents-boot-up-has-faulty-encryption/
...suggereert dat KillDisk op Linux bakken kan binnenwandelen na "hacking PPA's". De Mint thuisgebruikers hebben al eens een dingetje gehad met een gehackte distributie en tijdens updates staat de root-sluis wel wagenwijd open, ja.
Misschien is een paar dagen updates uitstellen een optie om de kat uit de boom te kijken? Is het verdacht dat ESET geen openheid geeft over de besmettingsstappen?

Tuurlijk is dat verdacht. Antivirusbouwers komen wel vaker met dergelijke berichten, maar als men ze vraagt in detail te treden over de werking, en wat het precies doet, blijven ze vaag. Ik snap 'm wel: angst aanwakkeren onder de Linux userbase, in de hoop dat "wij" ervan overtuigd raken dat "hun" oplossingen "ons" wel even beschermt tegen dergelijke malware.

Begrijp me niet verkeerd, want ook Linux heeft zo zijn zwakheden. Maar die vaagheid om dergelijke berichten heen vind ik weer stuitend. Trend Micro heeft er ook een handje van. Net als Kapersky.
06-01-2017, 02:38 door Anoniem
Door ph-cofi:
Is het verdacht dat ESET geen openheid geeft over de besmettingsstappen?

Wel eens gehoord van responsible disclosure zodat wannabe's [zoals ph-cofi] niet eea gaan copy-catten voordat een gat gedicht is?
06-01-2017, 10:17 door Rolf73
222 bitcoins /200.000 euro, dit kan een particulier niet ophoesten, een bedrijf wel, maar het risico om vervolgens de decryptiesleutel niet te ontvangen is de afkoopsom niet waard lijkt me (los van dat men inmiddels oplossing heeft)
Dus wat heeft de maker beoogd met deze ransomware?
06-01-2017, 10:55 door ph-cofi
[Verwijderd]
06-01-2017, 10:56 door ph-cofi
Door Anoniem:
Door ph-cofi:
Is het verdacht dat ESET geen openheid geeft over de besmettingsstappen?

Wel eens gehoord van responsible disclosure zodat wannabe's [zoals ph-cofi] niet eea gaan copy-catten voordat een gat gedicht is?
Hoelang mag de huidige onduidelijkheid duren voordat het niet meer resposible is? Ik hoop op een CVE melding, anders gaat de issue niet opgelost worden.
06-01-2017, 11:40 door Anoniem
Geen CVE, geen details, alleen fud.
Speculeren over onbezonnen beheerders die bewust kiezen voor sudo zonder wachtwoord, daar kan ik niets mee.

Mails? Hallo, hier heeft u een email, installeer even de bijgevoede deb of rpm voor uw architectuur. Als u meewerkt krijgt u een foto van een mooi meisje te zien :)
U kunt ons ook even de ssh gegevens mailen van uw server...
06-01-2017, 20:21 door Anoniem
Door Anoniem: Ik snap ook nog steeds niet dat de debian/ubuntu achtige linuxen met sudo werken, laat staan dat sudo zonder paswoord kan.
Ik overzie niet wat Debian-afgeleiden allemaal doen, maar in de default-instelling van Debian zelf moet je als non-root-user lid zijn van groep 'sudo' om sudo te mogen gebruiken en dan niet zonder wachtwoord (al blijft een gegeven wachtwoord even actief binnen die specifieke shell-sessie zodat je een paar sudo-commando's achter elkaar kan geven zonder het wachtwoord elke keer in te moeten tikken).
Gewoon terug naar en een root paswoord en een eerste gebruiker zonder root rechten. ZOals dat bij de echte unixen ook standaard is. Dacht ik toch.
Dacht ik toch niet. Op een multi-user-systeem wil je niet aan iedereen die iets extra's moet kunnen het root-wachtwoord geven.

Met sudo kan je zorgen dat het niet alles-of-niets is door mensen hun eigen wachtwoord te laten gebruiken daarvoor en rechten heel fijnmazig toe te bedelen. Je kan mensen bepaalde commando's alleen met specifieke argumenten toestaan, bijvoorbeeld, en ook zijn de toebedeelde rechten niet per se root-rechten, daar kan je ook andere users of groepen voor instellen. En commando's zonder wachtwoord toestaan dient in mijn ogen beperkt te worden tot commando's die je veilig acht op dat systeem.

Als er distro's zijn die sudo wél wagenwijd open zetten dan zijn die onverantwoordelijk bezig. Maar dat ligt dan niet aan sudo, het ligt aan dom gebruik ervan.
07-01-2017, 15:03 door Anoniem
Je kunt een hoop ellende voorkomen (in Linux) door firejail te installeren en te gebruiken. Firejail sandboxt je browser waardoor je bestanden in je home-directory niet meer overschreven kunnen worden. Het gebruik van firejail is zo eenvoudig als het prefixen van het commando om je browser te starten met het woord "firejail", dus bijvooorbeeld: "firejail firefox". Ook Distrowatch heeft er een artikel aan gewijd. De versie-nummering van firejail lijkt een beetje raar, maar de 38-serie is de Long-Term-Support versie.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.