Mais de 3,4 mil sites saíram do ar por um ransomware que atingiu a empresa coreana NAYANA
Pesquisadores de segurança de TI da Trend Micro recentemente descobriram malware que tem potencial para infectar servidores baseados em Linux. O malware, chamado Erebus, foi responsável por sequestrar 153 redes baseadas em Linux de uma empresa de hospedagem na web sul-coreana chamada NAYANA.
Erebus infectou milhares de sites sul-coreanos conectados a servidores Linux administrados pela NAYANA, levando as autoridades de segurança do estado e a polícia abrir uma investigação.
Nayana, disse na segunda-feira num aviso publicado em sua página inicial que, no sábado, 153 de seus servidores Linux foram infectados com o Erebus. Os sites de cerca de 3.400 empresas e grupos foram infectados com o ransomware, um tipo de software malicioso que impede ou limita os usuários de acessar seu sistema até pagar resgate em Bitcoins.
O montante do resgate inicialmente solicitado pelos invasores que utilizaram o Erebus foi de 10 Bitcoins ou 32,7 milhões de wones (29,075 dólares) por servidor, disse Nayana, acrescentando que os hackers agora pedem 5,4 Bitcoins.
A Agência de Segurança e Internet da Coréia, um órgão de segurança do estado e policiais prometem recuperar o controle de servidores infectados com a ajuda de especialistas estaduais.
Ao contrário do WannaCry que ataca alvos aleatórios, o Erebus ataca alvos designados, usando um bypass de Controle de Conta de Usuário (UAC) que permite que o ransomware seja executado em privilégios elevados sem exibir um prompt do UAC.
O que é o Erebus?
De acordo com o relatório da Trend Micro , o Erebus foi originalmente encontrado em setembro de 2016. No momento, o malware não era prejudicial e estava sendo distribuído por propagandas contendo malware. Uma vez que o usuário clicou nesses anúncios, o ransomware seria ativado da maneira usual.
A versão inicial do Erebus afetou apenas 423 tipos de arquivos e fez isso usando o algoritmo de criptografia RSA-2048, criptografando os arquivos com a extensão .encrypt. Além disso, foi essa variante que estava usando uma série de sites na Coréia do Sul como um centro de comando e controle (C & C).
Mais tarde, em fevereiro de 2017, o malware aparentemente evoluiu, pois agora ele tinha a capacidade de ignorar o Controle de Conta de Usuário (UAC). Para aqueles que podem não estar familiarizados com o UAC, é principalmente um sistema de proteção de privacidade do Windows que restringe qualquer pessoa que não esteja autorizada, para alterar o computador do usuário.
No entanto, esta versão posterior do Erebus foi capaz de fazê-lo e injetar ransomware sempre tão convenientemente.
A campanha em que esta versão estava envolvida exigiu um resgate de 0,085 bitcoins – equivalente a US $ 216 – e ameaçou excluir os arquivos em 96 horas se o resgate não fosse pago.
Agora, no entanto, o Erebus atingiu novo patamar ao ter a capacidade de contornar não só o UAC, mas também afetar redes inteiras que são executadas no Linux. Dado que a maioria das organizações hoje usam o Linux para suas redes, não é nenhuma surpresa ver que os efeitos do malware são de grande alcance.
Como funciona o Erebus mais recente?
De acordo com a Trend Micro, a versão mais recente do Erebus usa o algoritmo RSA para alterar as chaves AES no Windows e alterar a chave de criptografia como tal. Além disso, o ataque é acompanhado por um serviço Bluetooth para garantir que o ransomware não quebre, mesmo após o computador ser reiniciado.
Esta versão pode afetar um total de 433 tipos de arquivos, incluindo bancos de dados, arquivos, documentos do escritório, arquivos de e-mail, arquivos baseados na web e arquivos multimídia. O resgate exigido nesta campanha equivale a 5 bitcoins, que atualmente é de US $ 12.344.
Erebus não é o primeiro de seu tipo
Embora o ransomware que afete as redes baseadas em Linux seja raro, eles são, no entanto, antigos. Erebus não é o primeiro resgate de redes afetadas em Linux. Na verdade, a Trend Micro alega que tal ransomware foi descoberto no início de 2014.
Alguns dos ransomware incluem Linux.Encoder, Encrypter RaaS, KillDisk, KimcilWare e muito mais. Todos estes foram alegadamente desenvolvidos a partir de um projeto de código aberto que estava disponível como parte de uma campanha educacional.
O ransomware para Linux, apesar de ser um pouco inferior aos do Windows , ainda é potente o suficiente para causar danos em grande escala. Isso ocorre porque, uma série de organizações e centros de dados usam o Linux, e sequestrar esses sistemas high-end pode significar uma catástrofe.
Precauções de segurança
Para evitar que ocorram acidentes, os funcionários e organizações de TI que operam redes baseadas em Linux precisam tomar algumas precauções sérias. O mais óbvio é simplesmente manter o servidor atualizado com o mais recente software de firmware e anti-vírus.
Além disso, é sempre uma boa ideia manter um backup de seus arquivos de dados em dois ou três locais separados. Também é recomendado evitar a instalação de programas de terceiros desconhecidos, pois estes podem atuar como potenciais gateways para esses recursos de rede.
Por fim, os administradores de TI devem continuar monitorando o tráfego que passa pela rede e procura anomalias identificando eventuais inconsistências nos logs de eventos.
Com informações da Trend Micro e Hack Read