Pular para o conteúdo principal

Erebus: Trend Micro analisa ransomware para Linux que infectou empresa

Hackers exigiram resgate de U$S 1 milhão depois que mais de 3 mil sites foram infectados pelo Erebus em empresa sul-coreana



Neste mês, a empresa sul-coreana de web hosting NAYANA, foi atacada pelo ransomware Erebus. Detectado pela Trend Micro como RANSOM_ELFEREBUS.A, ele conseguiu infectar 153 servidores Linux e mais de 3.400 sites de empresas hospedadas pela NAYANA.



Em nota divulgada no site da NAYANA, a empresa informou que os hackers exigiram um resgate no valor de 550 Bitcoins (BTC), ou US$ 1,62 milhão, para descriptografar os arquivos afetados de todos os seus servidores.



A empresa negociou um pagamento de 397,6 BTC (aproximadamente US$ 1,01 milhão) a ser pago em parcelas. Em declaração postada no site da NAYANA, em 17 de junho, o segundo de três pagamentos já havia sido efetuado.



A partir daí, a empresa iniciou o processo de recuperação dos servidores em lotes e, até o momento, o primeiro e o segundo lotes de servidores foram recuperados com sucesso.



Apesar de ser incomparável em termos de valor de resgate, o fato ainda é uma reminiscência do que aconteceu com o Kansas Hospital, que não conseguiu acesso total aos arquivos criptografados mesmo após o pagamento, e ao invés disso sofreu uma segunda extorsão.



O Erebus foi visto pela primeira vez em setembro de 2016 através dos malvertisements (propagandas maliciosas) e reapareceu em fevereiro de 2017 usando um método que consegue evitar o Controle de Conta de Usuário do Windows.



Possível Vetor de Chegada



De acordo com pesquisas e estudos da Trend Micro, é possível afirmar que o Erebus pode ter vulnerabilidades possivelmente potencializadas ou um explorador Linux local.



Com base na inteligência open-source, o site da NAYANA é executado em um Linux kernel 2.6.24.2, que foi compilado em 2008. Falhas de segurança, como o DIRTY COW, que podem proporcionar aos hackers um acesso irrestrito (acesso root) à sistemas Linux vulneráveis são apenas algumas das ameaças aos quais o sistema pode ter sido exposto.



Além disso, o site da NAYANA usa o Apache versão 1.3.36 lançado em 2006, sistema pelo qual as explorações das vulnerabilidades são bem conhecidas. Segundo a Trend Micro, é vendida até mesmo uma ferramenta no submundo chinês para exploração maliciosa do Apache Struts.



A versão do Apache utilizada pela NAYANA é executada como usuário “nobody” (uid=99) que indica que um explorador local pode ter sido usado no ataque.



Vale destacar que este ransomware é limitado em termos de cobertura, e está, na verdade, altamente concentrado na Coreia do Sul. Esse fato pode indicar que este ataque ransomware é direcionado.



Por outro lado, o VirusTotal mostrou que diversas amostras são originárias da Ucrânia e Romênia. Estes envios podem indicar também que se tratavam de outros pesquisadores de segurança.



Quais são os arquivos mais visados



Documentos da empresa, bases de dados e arquivos multimídia são os tipos de arquivos mais comuns alvejados pelo ransomware. Esta versão do Erebus, por exemplo, criptografa 433 tipos de arquivos.



No entanto, o ransomware parece estar codificado principalmente para alvejar e criptografar os dados armazenados nos servidores de Internet.



Adoção das melhores práticas



Apesar de sua participação no mercado, os sistemas operacionais Unix e similares ao Unix, tais como o Linux, são lucrativos para os cibercriminosos, uma vez que o ransomware continua sendo diversificado e cada vez mais desenvolvido no cenário de ameaças.



O motivo? Estes sistemas são uma parte universal das infraestruturas que atendem inúmeras empresas, além de serem usados por estações de trabalho e servidores, frameworks de desenvolvimento de aplicativos e da web, bases de dados, dispositivos móveis, entre outros.



Como já visto em outros ataques, como WannaCry, SAMSAM, Petya ou HDDCryptor, a capacidade de afetar servidores e partes da rede pode potencialmente aumentar esse estrago. Uma única máquina vulnerável em uma rede, às vezes, é o necessário para infectar sistemas e servidores conectados.



Esse é mais um motivo pelo qual os administradores de sistemas/TI devem ter uma abordagem de segurança defense-in-depth (defesa em profundidade). As melhores práticas para atenuar o ransomware incluem:




  • Fazer o backup de arquivos críticos;

  • Desabilitar repositórios não verificados ou de terceiros;

  • Garantir que servidores e endpoints estejam atualizados (ou implantar o virtual patching);

  • Monitoramento regular da rede



Alguns dos mecanismos de segurança que podem ser considerados são:




  • Filtragem de IP, assim como sistemas de detecção e prevenção de invasões;

  • Extensões de segurança no Linux que gerenciam e limitam o acesso aos arquivos ou recursos da rede/sistema;

  • Segmentação da rede e categorização de dados para restringir e mitigar infecções e outros danos aos dados.



Em tempo: A Trend Micro irá atualizar este post assim que novas informações da análise relativa ao ransomware do Linux estiverem disponíveis.



Fonte: TrendMicro
Marcadores:

Comentários

Postar um comentário

Postagens mais visitadas deste blog

Acessórios da Asus começam a ser vendidos

Se você estava esperando o dia que a Asus iria liberar a nova linha de acessórios, comemorai!
Postar um comentário
Leia mais