بدافزار مخرب و معروف KillDisk که تا اندکی پیش، سیستم عامل کامپیوترها را با حذف فایلهای سیستمی و اصلی آنها از کار میانداخت مدتی است که با قـابلیت جدید باجافزاری خود مبلغ کـلانی را از قربانیان اخاذی میکند.
KillDisk، بدافزاری برای اجرای عملیات جاسوسی و خرابکاری سایبری بوده و اهداف اصلی آن معمولاً بخشهای صنعتی است.
گردانندگان این بدافزار با دو نام Sandworm و TeleBots شناخته میشوند. گروه Sandworm در سال 2014، سیستمهای کنترل صنعتی (ICS) و تجهیزات سامانههای سرپرستی و گردآوری داده (SCADA) آمریکا را هدف قرار داده بود.
به نظر میرسد گروه TeleBots همان گروه Sandworm است که بدافزاری از نوع دربپشتی و همچنین بدافزار KillDisk را توسعه داده است.
گروه دیگری نیز با نام BlackEnergy در دو سال اخیر از KillDisk برای حمله به شرکتهای اوکراینی فعال در حوزههای انرژی، معدن و رسانه استفاده کرده است.
هر چند ارتباط گروه BlackEnergy که مشخصاً وابسته به یک دولت است با TeleBots به اثبات نرسیده، اما چیزی که مشخص است گروه TeleBots در چندین عملیات هدفمند خرابکارانه دخالت داشته است.
در یکی از جدیدترین نمونهها، این گروه، سیستمهای کارکنان بانکهای اوکراین را با سوءاستفاده از قابلیت ماکرو در نرمافزار Office که به ایمیل هرزنامه پیوست شده بودند به دربپشتی آلوده کردند. در جریان این حمله پس از جمعآوری دادههای مهمی همچون گذرواژه از روی سیستمهای آلوده شده، ویروس KillDisk بر روی آنها نصب شده و با حذف و رونویسی فایلهای حساس سیستمی، سیستم عامل این دستگاهها غیرقابل راهاندازیی میشدند.
اکنون بهنظر میرسد گروه TeleBots تصمیم گرفته که خرابکاری خود را با اضافه کردن قابلیت باجافزار به این بدافزار تکمیل کند.
در جدیدترین نسخه KillDisk، با نمایش پیامی در ازای باز گرداندن دادهها، از قربانی مبلغ 222 بیتکوین معادل حدود 220 هزار دلار اخاذی میشود. نسخه باجافزاری KillDisk هر دو سیستم عامل Windows و Linux را هدف قرار میدهد.
شرکت مهندسی شبکه گستر در گزارشی به بررسی و تحلیل عملکرد بدافزار KillDisk پرداخته است. این گزارش در اینجا قابل دریافت است.