Эксперты из компании ESET обнаружили новую версию популярного среди злоумышленников программного модуля KillDisk, предназначенного для уничтожения и перезаписи данных, хранящихся на жестком диске компьютера. Новая разработка предназначена для атак на устройства на базе ОС Linux.
Неделей ранее исследователи из CyberX обнаружили первые версии KillDisk, обладающие функциями вымогателя. Ранее модули семейства KillDisk использовались исключительно для саботажа систем атакуемых организаций путем случайного удаления и шифрования данных. Однако обнаруженная CyberX версия предлагала жертвам заплатить выкуп за восстановление файлов. Предназначена эта версия была для атак на ПК под управлением ОС Windows.
Как сообщает компания ESET, версия для Linux разительно отличается от своего Windows-собрата. Основное отличие в том, что вымогатель не хранит ключ шифрования на компьютере, а также не передает его на атакующий сервер или куда бы то ни было. В обычной ситуации это означало бы невозможность восстановления файлов в принципе, даже после уплаты выкупа, однако специалисты ESET утверждают, что в работе Linux-версии KillDisk присутствует ошибка, отсутствующая в вымогателе для Windows, позволяющая восстановить файлы после шифрования.
Ранее KillDisk получил известность благодаря использованию его в громких случаях шпионажа и кибердиверсий. В частности, именно KillDisk использовался группировкой BlackEnergy при атаках на энергосистемы Украины в декабре 2015 года.
