Global Preloader
Vulnerabilidad
(08/Jun/2018) Variante de KillDisk ataca en América Latina

Variante de KillDisk ataca en América Latina

A principios de este año, se observó una nueva versión del destructivo malware KillDisk dirigido a organizaciones en Latinoamérica, informa Trend Micro.

KillDisk ha existido por varios años, y fue utilizado en ataques dirigidos al sector energético de Ucrania en 2015 orquestado por BlackEnergy, el agente amenazante vinculado con Rusia. Inicialmente diseñado para borrar discos duros y volver inoperables los sistemas, el malware recibió capacidades de encriptación de archivos a finales de 2016, con una variante de orientación de Linux del ransomware detectada poco después.

En enero, los investigadores de seguridad de Trend Micro observaron una nueva variante del malware en Latinoamérica y revelaron que la amenaza una vez más borraba archivos y borraba el disco.

En mayo, la empresa de seguridad observó un registro maestro de arranque (MBR), que borraba programas maliciosos en la región, y una de las organizaciones impactadas era un banco "cuyos sistemas se volvieron inoperantes durante varios días". Sin embargo, el ataque fue considerado una distracción , ya que el actor detrás de él se centró en el acceso a los sistemas conectados a la red SWIFT local del banco.

Los investigadores también descubrieron que el malware utilizado en este ataque era una nueva variante de KillDisk, basada en el mensaje de error mostrado por los sistemas afectados (común a las máquinas infectadas con amenazas de borrado de MBR).

Los investigadores de seguridad también dicen que no han encontrado otras rutinas nuevas o notables en la muestra y que no se observó ninguna infraestructura o comunicación de comando y control (C&C). Además, no se encontraron rutinas similares al ransomware en el malware, ni comportamiento relacionado con la red.

La amenaza puede borrar todos los discos duros físicos en el sistema infectado. Para borrar el MBR, recupera el identificador del disco duro, sobrescribe el primer sector del disco (512 bytes) con "0x00", intenta la misma rutina en todos los discos duros y luego obliga a la máquina a apagarse.