O provedor de hospedagem web sul-coreano concordou em pagar US$ 1 milhão em bitcoins para crackers depois que um ransomware Linux infectou seus 153 servidores, criptograficando 3.400 sites de negócios e seus dados hospedados neles.
De acordo com uma publicação no blog publicada pela NAYANA, a empresa de hospedagem na web, este evento infeliz aconteceu no dia 10 de junho, quando o malware do Ransomware atingiu seus servidores de hospedagem e o atacante exigiu 550 bitcoins (mais de US$ 1,6 milhão) para desbloquear os arquivos criptografados.
No entanto, a empresa negociou mais tarde com os cibercriminosos e concordou em pagar 397,6 bitcoins (cerca de US$ 1,01 milhão) em três parcelas para que seus arquivos fossem descriptografados.
A empresa de hospedagem já pagou duas parcelas no momento da redação e pagaria a última parcela do resgate depois de recuperar dados de dois terços dos servidores infectados.
De acordo com a empresa de segurança Trend Micro, o Ransomware usado no ataque foi o Erebus que foi detectado em setembro do ano passado e foi visto em fevereiro deste ano com as capacidades de desvio de controle de conta de usuário do Windows.
Uma vez que os servidores de hospedagem estavam sendo executados no kernel do Linux 2.6.24.2, os pesquisadores acreditam que o Ransomware do Erebus Linux pode ter usado vulnerabilidades conhecidas, como SUTY VW; Ou uma aplicação local do Linux para assumir o acesso raiz do sistema.
“A versão do Apache NAYANA usada é executada como um usuário de ninguém (uid = 99), o que indica que uma exploração local também pode ter sido usada no ataque”, observa o pesquisador.
“Além disso, o site da NAYANA usa o Apache versão 1.3.36 e PHP versão 5.1.4, ambos lançados em 2006.”
Erebus, o ransomware que visa principalmente usuários na Coréia do Sul, criptografa documentos de escritório, bancos de dados, arquivos e arquivos multimídia usando o algoritmo RSA-2048 e, em seguida, anexa-os com uma extensão .ecrypt antes de exibir a nota de resgate.
“O arquivo primeiro é codificado com criptografia RC4 em blocos de 500kB com chaves geradas aleatoriamente”, dizem os pesquisadores. “A chave RC4 é então codificada com o algoritmo de criptografia AES, que é armazenado no arquivo. A chave AES é novamente criptografada usando o algoritmo RSA-2048 que também é armazenado no arquivo.”
A chave pública que é gerada localmente é compartilhada, enquanto a chave privada é criptografada usando criptografia AES e outra chave gerada aleatoriamente.
De acordo com a análise realizada pelos pesquisadores da Trend Micro, a descriptografia de arquivos infectados não é possível sem se apoderar das chaves RSA.
Então, a única maneira segura de lidar com ataques de resgate é a prevenção. Como recomendamos anteriormente, a melhor defesa contra o Ransomware é criar conscientização dentro das organizações, bem como para manter backups que são rodados regularmente.
A maioria dos vírus é introduzida abrindo anexos infectados ou clicando em links para malwares geralmente em e-mails de spam. Portanto, NÃO CLIQUE em links fornecidos em e-mails e anexos de fontes desconhecidas.
Além disso, assegure-se de que seus sistemas estejam executando a versão mais recente dos aplicativos instalados.
Fonte: https://www.cbsi.net.br