A empresa sul-coreana de web hosting NAYANA, foi atacada pelo ransomware Erebus. Detectado pela Trend Micro como RANSOM_ELFEREBUS.A, ele conseguiu infectar 153 servidores Linux e mais de 3.400 sites de empresas hospedadas pela NAYANA.
Em nota, a empresa informou que os hackers exigiram um resgate no valor de 550 Bitcoins (BTC), ou US$ 1,62 milhão, para descriptografar os arquivos afetados de todos os seus servidores.
A empresa negociou um pagamento de 397,6 BTC (aproximadamente US$ 1,01 milhão) a ser pago em parcelas. Em declaração postada no site da NAYANA, em 17 de junho, o segundo de três pagamentos já havia sido efetuado.
A partir daí, iniciou o processo de recuperação dos servidores em lotes e, até o momento, o primeiro e o segundo lotes de servidores foram recuperados com sucesso.
Apesar de ser incomparável em termos de valor de resgate, o fato ainda é uma reminiscência do que aconteceu com o Kansas Hospital, que não conseguiu acesso total aos arquivos criptografados mesmo após o pagamento, e ao invés disso sofreu uma segunda extorsão.
O Erebus foi visto pela primeira vez em setembro de 2016 através dos malvertisements (propagandas maliciosas) e reapareceu em fevereiro de 2017 usando um método que consegue evitar o Controle de Conta de Usuário do Windows.
Possível Vetor de Chegada
De acordo com pesquisas e estudos da Trend Micro, é possível afirmar que o Erebus pode ter vulnerabilidades possivelmente potencializadas ou um explorador Linux local.
Com base na inteligência open-source, o site da NAYANA é executado em um Linux kernel 2.6.24.2, que foi compilado em 2008. Falhas de segurança, como o DIRTY COW, que podem proporcionar aos hackers um acesso irrestrito (acesso root) à sistemas Linux vulneráveis são apenas algumas das ameaças aos quais o sistema pode ter sido exposto.
Além disso, o site da NAYANA usa o Apache versão 1.3.36 lançado em 2006, sistema pelo qual as explorações das vulnerabilidades são bem conhecidas. Segundo a Trend Micro, é vendida até mesmo uma ferramenta no submundo chinês para exploração maliciosa do Apache Struts.
A versão do Apache utilizada pela NAYANA é executada como usuário “nobody” (uid=99) que indica que um explorador local pode ter sido usado no ataque.
Vale destacar que este ransomware é limitado em termos de cobertura, e está, na verdade, altamente concentrado na Coreia do Sul. Esse fato pode indicar que este ataque ransomware é direcionado.
Por outro lado, o VirusTotal mostrou que diversas amostras são originárias da Ucrânia e Romênia. Estes envios podem indicar também que se tratavam de outros pesquisadores de segurança.
Quais são os arquivos mais visados
Documentos da empresa, bases de dados e arquivos multimídia são os tipos de arquivos mais comuns alvejados pelo ransomware. Esta versão do Erebus, por exemplo, criptografa 433 tipos de arquivos.
No entanto, o ransomware parece estar codificado principalmente para alvejar e criptografar os dados armazenados nos servidores de Internet.
Adoção das melhores práticas
Apesar de sua participação no mercado, os sistemas operacionais Unix e similares ao Unix, tais como o Linux, são lucrativos para os cibercriminosos, uma vez que o ransomware continua sendo diversificado e cada vez mais desenvolvido no cenário de ameaças.
O motivo? Estes sistemas são uma parte universal das infraestruturas que atendem inúmeras empresas, além de serem usados por estações de trabalho e servidores, frameworks de desenvolvimento de aplicativos e da web, bases de dados, dispositivos móveis, entre outros.
Como já visto em outros ataques, como WannaCry, SAMSAM, Petya ou HDDCryptor, a capacidade de afetar servidores e partes da rede pode potencialmente aumentar esse estrago. Uma única máquina vulnerável em uma rede, às vezes, é o necessário para infectar sistemas e servidores conectados.
Esse é mais um motivo pelo qual os administradores de sistemas/TI devem ter uma abordagem de segurança defense-in-depth (defesa em profundidade). As melhores práticas para atenuar o ransomware incluem:
• Fazer o backup de arquivos críticos;
• Desabilitar repositórios não verificados ou de terceiros;
• Garantir que servidores e endpoints estejam atualizados (ou implantar o virtual patching);
• Monitoramento regular da rede
Alguns dos mecanismos de segurança que podem ser considerados são:
• Filtragem de IP, assim como sistemas de detecção e prevenção de invasões;
• Extensões de segurança no Linux que gerenciam e limitam o acesso aos arquivos ou recursos da rede/sistema;
• Segmentação da rede e categorização de dados para restringir e mitigar infecções e outros danos aos dados.
