top of page

KillDisk: el arma letal de los cibercriminales

Angie Cantillo

KillDisk es el nombre de detección genérico utilizado por ESET para describir a un malware destructivo con capacidad para dañar discos rígidos; así como también puede afectar al sector de booteo y sobrescribir luego de eliminar archivos de sistema,  una vez cumplidos estos pasos lo siguiente es un reinicio para convertir a la máquina en inutilizable.

Este malware fue detectado en numerosos servidores y endpoints en la red de un casino online en América Central luego de que este sufriera un ataque. Varios expertos estudiaron esta infiltración y llegaron a la conclusión que el grupo de cibercriminales Lazarus fueron los encargados de este atentado. 

Lazarus adquiró mucha popularidad con el ataque realizado a Sony Pictures Entertaiment en el 2017 y se han caracterizado por sus ataques limpiamente planificados. Para el caso específico del casino fue necesario el uso de varias herramientas  poder lograr la infiltración, algunas de ellas son  TCP backdoor, secuestro de la sesión y  loader/instalador.

La mayoría de estas herramientas están diseñadas para ejecutarse como servicio de Windows. Para lograr esto, es necesario contar con privilegios de administrador, lo que quiere decir que los atacantes debieron dar por sentada la obtención de esos privilegios al momento de diseñar las herramientas o compilarlas.

La decisión de utilizar KillDisk como parte del ataque se puede deber a dos razones: que los atacantes hayan buscado evitar dejar rastros luego de una operación de espionaje, o que haya sido utilizada directamente para extorsión o para ciber-sabotaje. En cualquier caso, el hecho de que los productos de ESET hayan detectado el malware en más de 100 endpoints y servidores en la organización nos da una idea del esfuerzo realizado por los atacantes.

Comentarios


bottom of page