Pesquisar este blog

quinta-feira, 22 de junho de 2017

Trend Micro analisa ransomware para Linux que atacou empresa sul-coreana



Hackers exigiram resgate de U$S 1 milhão depois que mais de 3 mil sites foram infectados


Neste mês, a empresa sul-coreana de web hosting NAYANA, foi atacada pelo ransomware Erebus. Detectado pela Trend Micro como RANSOM_ELFEREBUS.A, ele conseguiu infectar 153 servidores Linux e mais de 3.400 sites de empresas hospedadas pela NAYANA.

Em nota divulgada no site da NAYANA, a empresa informou que os hackers exigiram um resgate no valor de 550 Bitcoins (BTC), ou US$ 1,62 milhão, para descriptografar os arquivos afetados de todos os seus servidores. 

A empresa negociou um pagamento de 397,6 BTC (aproximadamente US$ 1,01 milhão) a ser pago em parcelas. Em declaração postada no site da NAYANA, em 17 de junho, o segundo de três pagamentos já havia sido efetuado. 

A partir daí, a empresa iniciou o processo de recuperação dos servidores em lotes e, até o momento, o primeiro e o segundo lotes de servidores foram recuperados com sucesso.

Apesar de ser incomparável em termos de valor de resgate, o fato ainda é uma reminiscência do que aconteceu com o Kansas Hospital, que não conseguiu acesso total aos arquivos criptografados mesmo após o pagamento, e ao invés disso sofreu uma segunda extorsão.

O Erebus foi visto pela primeira vez em setembro de 2016 através dos malvertisements (propagandas maliciosas) e reapareceu em fevereiro de 2017 usando um método que consegue evitar o Controle de Conta de Usuário do Windows. 


Possível Vetor de Chegada

De acordo com pesquisas e estudos da Trend Micro, é possível afirmar que o Erebus pode ter vulnerabilidades possivelmente potencializadas ou um explorador Linux local. 

Com base na inteligência open-source, o site da NAYANA é executado em um Linux kernel 2.6.24.2, que foi compilado em 2008. Falhas de segurança, como o DIRTY COW, que podem proporcionar aos hackers um acesso irrestrito (acesso root) à sistemas Linux vulneráveis são apenas algumas das ameaças aos quais o sistema pode ter sido exposto.

Além disso, o site da NAYANA usa o Apache versão 1.3.36 lançado em 2006, sistema pelo qual as explorações das vulnerabilidades são bem conhecidas. Segundo a Trend Micro, é vendida até mesmo uma ferramenta no submundo chinês para exploração maliciosa do Apache Struts. 

A versão do Apache utilizada pela NAYANA é executada como usuário “nobody” (uid=99) que indica que um explorador local pode ter sido usado no ataque.
Vale destacar que este ransomware é limitado em termos de cobertura, e está, na verdade, altamente concentrado na Coreia do Sul. Esse fato pode indicar que este ataque ransomware é direcionado.  

Por outro lado, o VirusTotal mostrou que diversas amostras são originárias da Ucrânia e Romênia. Estes envios podem indicar também que se tratavam de outros pesquisadores de segurança.


Quais são os arquivos mais visados

Documentos da empresa, bases de dados e arquivos multimídia são os tipos de arquivos mais comuns alvejados pelo ransomware. Esta versão do Erebus, por exemplo, criptografa 433 tipos de arquivos. 

No entanto, o ransomware parece estar codificado principalmente para alvejar e criptografar os dados armazenados nos servidores de Internet.


Adoção das melhores práticas

Apesar de sua participação no mercado, os sistemas operacionais Unix e similares ao Unix, tais como o Linux, são lucrativos para os cibercriminosos, uma vez que o ransomware continua sendo diversificado e cada vez mais desenvolvido no cenário de ameaças. 

O motivo? Estes sistemas são uma parte universal das infraestruturas que atendem inúmeras empresas, além de serem usados por estações de trabalho e servidores, frameworks de desenvolvimento de aplicativos e da web, bases de dados, dispositivos móveis, entre outros.

Como já visto em outros ataques, como WannaCry, SAMSAM, Petya ou HDDCryptor, a capacidade de afetar servidores e partes da rede pode potencialmente aumentar esse estrago. Uma única máquina vulnerável em uma rede, às vezes, é o necessário para infectar sistemas e servidores conectados.

Esse é mais um motivo pelo qual os administradores de sistemas/TI devem ter uma abordagem de segurança defense-in-depth (defesa em profundidade). As melhores práticas para atenuar o ransomware incluem:

•        Fazer o backup de arquivos críticos;

•        Desabilitar repositórios não verificados ou de terceiros;

•        Garantir que servidores e endpoints estejam atualizados (ou implantar o virtual patching);

•        Monitoramento regular da rede
Alguns dos mecanismos de segurança que podem ser considerados são:

•        Filtragem de IP, assim como sistemas de detecção e prevenção de invasões;

•        Extensões de segurança no Linux que gerenciam e limitam o acesso aos arquivos ou recursos da rede/sistema;

•        Segmentação da rede e categorização de dados para restringir e mitigar infecções e outros danos aos dados.
Em tempo: A Trend Micro irá atualizar este post assim que novas informações da análise relativa ao ransomware do Linux estiverem disponíveis.




Trend Micro Incorporated



Nenhum comentário:

Postar um comentário

Posts mais acessados