Hackers
exigiram resgate de U$S 1 milhão depois que mais de 3 mil sites foram
infectados
Neste
mês, a empresa sul-coreana de web hosting NAYANA, foi atacada pelo ransomware
Erebus. Detectado pela Trend Micro como RANSOM_ELFEREBUS.A, ele conseguiu
infectar 153 servidores Linux e mais de 3.400 sites de empresas hospedadas pela
NAYANA.
Em
nota divulgada no site da NAYANA, a empresa informou que os hackers exigiram um
resgate no valor de 550 Bitcoins (BTC), ou US$ 1,62 milhão, para
descriptografar os arquivos afetados de todos os seus servidores.
A
empresa negociou um pagamento de 397,6 BTC (aproximadamente US$ 1,01 milhão) a
ser pago em parcelas. Em declaração postada no site da NAYANA, em 17 de junho,
o segundo de três pagamentos já havia sido efetuado.
A partir
daí, a empresa iniciou o processo de recuperação dos servidores em lotes e, até
o momento, o primeiro e o segundo lotes de servidores foram recuperados com
sucesso.
Apesar
de ser incomparável em termos de valor de resgate, o fato ainda é uma reminiscência
do que aconteceu com o Kansas Hospital, que não conseguiu acesso total aos
arquivos criptografados mesmo após o pagamento, e ao invés disso sofreu uma
segunda extorsão.
O
Erebus foi visto pela primeira vez em setembro de 2016 através dos malvertisements
(propagandas maliciosas) e reapareceu em fevereiro de 2017 usando um método que
consegue evitar o Controle de Conta de Usuário do Windows.
Possível Vetor de Chegada
De
acordo com pesquisas e estudos da Trend Micro, é possível afirmar que o Erebus pode ter
vulnerabilidades possivelmente potencializadas ou um explorador Linux local.
Com
base na inteligência open-source, o site da NAYANA é executado em um Linux
kernel 2.6.24.2, que foi compilado em 2008. Falhas de segurança, como o DIRTY
COW, que podem proporcionar aos hackers um acesso irrestrito (acesso root) à
sistemas Linux vulneráveis são apenas algumas das ameaças aos quais o sistema
pode ter sido exposto.
Além
disso, o site da NAYANA usa o Apache versão 1.3.36 lançado em 2006, sistema
pelo qual as explorações das vulnerabilidades são bem conhecidas. Segundo a
Trend Micro, é vendida até mesmo uma ferramenta no submundo chinês para
exploração maliciosa do Apache Struts.
A
versão do Apache utilizada pela NAYANA é executada como usuário “nobody” (uid=99)
que indica que um explorador local pode ter sido usado no ataque.
Vale
destacar que este ransomware é limitado em termos de cobertura, e está, na
verdade, altamente concentrado na Coreia do Sul. Esse fato pode indicar que este
ataque ransomware é direcionado.
Por
outro lado, o VirusTotal mostrou que diversas amostras são originárias da
Ucrânia e Romênia. Estes envios podem indicar também que se tratavam de outros
pesquisadores de segurança.
Quais são os arquivos mais visados
Documentos
da empresa, bases de dados e arquivos multimídia são os tipos de arquivos mais
comuns alvejados pelo ransomware. Esta versão do Erebus, por exemplo,
criptografa 433 tipos de arquivos.
No
entanto, o ransomware parece estar codificado principalmente para alvejar e
criptografar os dados armazenados nos servidores de Internet.
Adoção das melhores práticas
Apesar
de sua participação no mercado, os sistemas operacionais Unix e similares ao
Unix, tais como o Linux, são lucrativos para os cibercriminosos, uma vez que o
ransomware continua sendo diversificado e cada vez mais desenvolvido no cenário
de ameaças.
O
motivo? Estes sistemas são uma parte universal das infraestruturas que atendem
inúmeras empresas, além de serem usados por estações de trabalho e servidores,
frameworks de desenvolvimento de aplicativos e da web, bases de dados,
dispositivos móveis, entre outros.
Como
já visto em outros ataques, como WannaCry, SAMSAM, Petya ou HDDCryptor, a
capacidade de afetar servidores e partes da rede pode potencialmente aumentar
esse estrago. Uma única máquina vulnerável em uma rede, às vezes, é o
necessário para infectar sistemas e servidores conectados.
Esse
é mais um motivo pelo qual os administradores de sistemas/TI devem ter uma
abordagem de segurança defense-in-depth (defesa em profundidade). As melhores
práticas para atenuar o ransomware incluem:
•
Fazer o backup de arquivos críticos;
•
Desabilitar repositórios não verificados ou de terceiros;
•
Garantir que servidores e endpoints estejam atualizados (ou implantar o virtual
patching);
•
Monitoramento regular da rede
Alguns
dos mecanismos de segurança que podem ser considerados são:
•
Filtragem de IP, assim como sistemas de detecção e prevenção de invasões;
•
Extensões de segurança no Linux que gerenciam e limitam o acesso aos arquivos
ou recursos da rede/sistema;
•
Segmentação da rede e categorização de dados para restringir e mitigar
infecções e outros danos aos dados.
Em
tempo: A Trend Micro irá atualizar este post assim que novas informações da
análise relativa ao ransomware do Linux estiverem disponíveis.
Trend Micro Incorporated
Nenhum comentário:
Postar um comentário