بررسی و تحلیل بدافزار KillDisk

بدافزار مخرب و معروف KillDisk که تا اندکی پیش، سیستم عامل کامپیوترها را با حذف فایل‌های سیستمی و اصلی آنها از کار می‌انداخت مدتی است که با قـابلیت جدید باج‌افزاری خود مبلغ کـلانی را از قربانیان اخاذی می‌کند.

KillDisk، بدافزاری برای اجرای عملیات جاسوسی و خرابکاری سایبری بوده و اهداف اصلی آن معمولاً بخش‌های صنعتی است.

گردانندگان این بدافزار با دو نام Sandworm و TeleBots شناخته می‌شوند. گروه Sandworm در سال 2014، سیستم‌های کنترل صنعتی (ICS) و تجهیزات سامانه‌های سرپرستی و گردآوری داده (SCADA) آمریکا را هدف قرار داده بود.

به نظر می‌رسد گروه TeleBots همان گروه Sandworm است که بدافزاری از نوع درب‌پشتی و همچنین بدافزار KillDisk را توسعه داده است.

گروه دیگری نیز با نام BlackEnergy در دو سال اخیر از KillDisk برای حمله به شرکت‌های اوکراینی فعال در حوزه‌های انرژی، معدن و رسانه استفاده کرده است.
هر چند ارتباط گروه BlackEnergy که مشخصاً وابسته به یک دولت است با TeleBots به اثبات نرسیده، اما چیزی که مشخص است گروه TeleBots در چندین عملیات هدفمند خرابکارانه دخالت داشته است.

در یکی از جدیدترین نمونه‌ها، این گروه، سیستم‌های کارکنان بانک‌های اوکراین را با سوءاستفاده از قابلیت ماکرو در نرم‌افزار Office که به ایمیل هرزنامه پیوست شده بودند به درب‌پشتی آلوده کردند. در جریان این حمله پس از جمع‌آوری داده‌های مهمی همچون گذرواژه از روی سیستم‌های آلوده شده، ویروس KillDisk بر روی آنها نصب شده و با حذف و رونویسی فایل‌های حساس سیستمی، سیستم عامل این دستگاه‌ها غیرقابل راه‌اندازیی می‌شدند.

اکنون به‌نظر می‌رسد گروه TeleBots تصمیم گرفته که خرابکاری خود را با اضافه کردن قابلیت باج‌افزار به این بدافزار تکمیل کند.

در جدیدترین نسخه KillDisk، با نمایش پیامی در ازای باز گرداندن داده‌ها، از قربانی مبلغ 222 بیت‌کوین معادل حدود 220 هزار دلار اخاذی می‌شود. نسخه باج‌افزاری KillDisk هر دو سیستم عامل Windows و Linux را هدف قرار می‌دهد.

شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل عملکرد بدافزار KillDisk پرداخته است. این گزارش در اینجا قابل دریافت است.