O Carinha de TI

Mais de 3 mil sites fora do ar por causa do Ransomware para Linux

Erebus ressurge como Linux Ransomware

 

Em 10 de junho, a empresa de hospedagem na web sul-coreana NAYANA foi atingida pelo Eresbus Ransomware (detectado pela Trend Micro como RANSOM_ELFEREBUS.A ), infectando 153 servidores Linux e mais de 3.400 sites comerciais que a empresa hospeda.

Em um aviso publicado no site da NAYANA em 12 de junho passado, a empresa compartilhou que os atacantes exigiram um resgate sem precedentes de 550 Bitcoins (BTC), ou US $ 1,62 milhões, para descriptografar os arquivos afetados de todos os seus servidores. Em uma atualização em 14 de junho, a NAYANA negociou um pagamento de 397,6 BTC (cerca de US $ 1,01 milhão a partir de 19 de junho de 2017) a ser pago em parcelas. Em um comunicado publicado no site da NAYANA em 17 de junho, o segundo de três pagamentos já foi feito. Em 18 de junho , a NAYANA iniciou o processo de recuperação dos servidores em lotes. Alguns dos servidores do segundo lote estão atualmente com erros de banco de dados (DB). Uma terceira parcela de pagamento também deverá ser paga após o primeiro e segundo lotes de servidores terem sido recuperados com sucesso.

Embora não seja comparável em termos de montante de resgate, isso é uma reminiscência do que aconteceu com o Kansas Hospital , que não teve acesso total aos arquivos criptografados depois de pagar o resgate, mas foi extorsionado pela segunda vez.

O Erebus foi visto pela primeira vez em setembro de 2016 por propaganda e ressurgiu em fevereiro de 2017 e usou um método que ignora o Controle de Conta de Usuário do Windows . Aqui estão alguns dos detalhes técnicos notáveis ​​que descobrimos até agora sobre a versão Linux do Erebus:


Figura 1: Erebus possui uma nota de resgate multilingue (inglês mostrado acima)


Figura 2: Captura de tela de um vídeo de demonstração dos atacantes que mostra como desencriptar os arquivos criptografados

 

Rotina de criptografia
Algumas famílias de ransomware são conhecidas por codificar arquivos em camadas de algoritmos de criptografia, como UIWIX , versões posteriores de Cerber e DMA Locker . Erebus leva isso um entalhe; Cada arquivo criptografado pela Erebus terá esse formato:

Cabeçalho (0x438 bytes)
Nome de arquivo original codificado RSA-2048
Chave AES codificada RSA-2048
Chave RC4 com criptografia RSA-2048
Dados criptografados RC4

O arquivo primeiro é codificado com criptografia RC4 em blocos de 500kB com chaves geradas aleatoriamente. A chave RC4 é então codificada com o algoritmo de criptografia AES, que é armazenado no arquivo. A chave AES é novamente criptografada usando o algoritmo RSA-2048 que também é armazenado no arquivo.

Embora cada arquivo criptografado tenha suas chaves RC4 e AES, a chave pública RSA-2048 é compartilhada. Essas chaves RSA-2048 são geradas localmente, mas a chave privada é criptografada usando criptografia AES e outra chave gerada aleatoriamente. A análise contínua indica que o descriptografia não é possível sem se apoderar das chaves RSA.

Tipos de arquivos segmentados
Os documentos do Office, bancos de dados, arquivos e arquivos multimídia são os tipos de arquivos habituais segmentados pelo ransomware. É o mesmo para esta versão do Erebus, que criptografa 433 tipos de arquivos. No entanto, o ransomware parece ser codificado principalmente para segmentação e criptografia de servidores web e dados armazenados neles.

Aqui está uma tabela que mostra os diretórios e os espaços de tabela do sistema que o Erebus procura. Observe que var / www / é onde os arquivos / dados de sites são armazenados, enquanto os arquivos ibdata são usados ​​no MySQL:

Diretórios incluídos: Diretórios excluídos:
Var / www / $ / Bin /
Arquivos incluídos: $ / Boot /
Ibdata0 $ / Dev /
Ibdata1 $ / Etc /
Ibdata2 $ / Lib /
Ibdata3 $ / Lib64 /
Ibdata4 $ / Proc /
Ibdata5 $ / Run /
Ibdata6 $ / Sbin /
Ibdata7 $ / Srv /
Ibdata8 $ / Sys /
Ibdata9 $ / Tmp /
Ib_logfile0 $ / Usr /
Ib_logfile1 $ / Var /
Ib_logfile2 /.gema/
Ib_logfile3 /.agrupar/
Ib_logfile4 /.nvm/
Ib_logfile5 /.npm/

Figura 3: Espaços de tabela do sistema Pesquisas de Erebus

Adote as melhores práticas
Apesar de sua participação no mercado, os sistemas operacionais Unix e Unix, como o Linux, estão preparados para ser lucrativos para os bandidos, já que o ransomware continua a diversificar e amadurecer na paisagem da ameaça . Por quê? Eles são uma parte onipresente das infra-estruturas que impulsionam muitas empresas, usadas por estações de trabalho e servidores, estruturas de desenvolvimento de aplicativos e web, bancos de dados e dispositivos móveis, entre outros.

E, como já vimos em outras famílias como WannaCry , SAMSAM , Petya ou HDDCryptor , a capacidade de afetar servidores e compartilhamentos de rede amplifica o impacto. Uma única máquina vulnerável em uma rede é, por vezes, tudo o que é preciso para infectar sistemas e servidores conectados.

Dado os riscos para as operações comerciais, a reputação e a linha de fundo, as empresas precisam ser pró-ativas para manter ameaças como o Ransomware. Não há bala de prata para ransomware como o Erebus, e é por isso que os administradores de TI / sistema devem ter uma abordagem de defesa em profundidade para a segurança. As melhores práticas para atenuar o ransomware incluem:

  • Fazendo backup de arquivos críticos
  • Desativando ou minimizando repositórios de terceiros ou não verificados
  • Aplicando o princípio do menor privilégio
  • Garantir servidores e pontos finais são atualizados (ou implantação de patches virtuais )
  • Monitoramento regular da rede
  • Inspecionando logs de eventos para verificar se há sinais de intrusão ou infecção

Alguns dos mecanismos de segurança que podem ser considerados são:

  • Filtragem de IP, bem como sistemas de prevenção e detecção de intrusões
  • Extensões de segurança no Linux que gerenciam e limitam o acesso a arquivos ou recursos de sistema / rede
  • Segmentação de rede e categorização de dados para reduzir e mitigar a infecção e danos adicionais aos dados.
  • Ativando a separação de privilégios no Linux

 

Tradução, fonte e adaptação de: http://blog.trendmicro.com/trendlabs-security-intelligence/erebus-resurfaces-as-linux-ransomware/

Facebook - Comentários

Comentários