Erebus: Trend Micro analisa ransomware para Linux que infectou empresa

Hackers exigiram resgate de U$S 1 milhão depois que mais de 3 mil sites foram infectados pelo Erebus em empresa sul-coreana

Neste mês, a empresa sul-coreana de web hosting NAYANA, foi atacada pelo ransomware Erebus. Detectado pela Trend Micro como RANSOM_ELFEREBUS.A, ele conseguiu infectar 153 servidores Linux e mais de 3.400 sites de empresas hospedadas pela NAYANA.

Em nota divulgada no site da NAYANA, a empresa informou que os hackers exigiram um resgate no valor de 550 Bitcoins (BTC), ou US$ 1,62 milhão, para descriptografar os arquivos afetados de todos os seus servidores.

A empresa negociou um pagamento de 397,6 BTC (aproximadamente US$ 1,01 milhão) a ser pago em parcelas. Em declaração postada no site da NAYANA, em 17 de junho, o segundo de três pagamentos já havia sido efetuado.

A partir daí, a empresa iniciou o processo de recuperação dos servidores em lotes e, até o momento, o primeiro e o segundo lotes de servidores foram recuperados com sucesso.

Apesar de ser incomparável em termos de valor de resgate, o fato ainda é uma reminiscência do que aconteceu com o Kansas Hospital, que não conseguiu acesso total aos arquivos criptografados mesmo após o pagamento, e ao invés disso sofreu uma segunda extorsão.

O Erebus foi visto pela primeira vez em setembro de 2016 através dos malvertisements (propagandas maliciosas) e reapareceu em fevereiro de 2017 usando um método que consegue evitar o Controle de Conta de Usuário do Windows.

Possível Vetor de Chegada

De acordo com pesquisas e estudos da Trend Micro, é possível afirmar que o Erebus pode ter vulnerabilidades possivelmente potencializadas ou um explorador Linux local.

Com base na inteligência open-source, o site da NAYANA é executado em um Linux kernel 2.6.24.2, que foi compilado em 2008. Falhas de segurança, como o DIRTY COW, que podem proporcionar aos hackers um acesso irrestrito (acesso root) à sistemas Linux vulneráveis são apenas algumas das ameaças aos quais o sistema pode ter sido exposto.

Além disso, o site da NAYANA usa o Apache versão 1.3.36 lançado em 2006, sistema pelo qual as explorações das vulnerabilidades são bem conhecidas. Segundo a Trend Micro, é vendida até mesmo uma ferramenta no submundo chinês para exploração maliciosa do Apache Struts.

A versão do Apache utilizada pela NAYANA é executada como usuário “nobody” (uid=99) que indica que um explorador local pode ter sido usado no ataque.

Vale destacar que este ransomware é limitado em termos de cobertura, e está, na verdade, altamente concentrado na Coreia do Sul. Esse fato pode indicar que este ataque ransomware é direcionado.

Por outro lado, o VirusTotal mostrou que diversas amostras são originárias da Ucrânia e Romênia. Estes envios podem indicar também que se tratavam de outros pesquisadores de segurança.

Quais são os arquivos mais visados

Documentos da empresa, bases de dados e arquivos multimídia são os tipos de arquivos mais comuns alvejados pelo ransomware. Esta versão do Erebus, por exemplo, criptografa 433 tipos de arquivos.

No entanto, o ransomware parece estar codificado principalmente para alvejar e criptografar os dados armazenados nos servidores de Internet.

Adoção das melhores práticas

Apesar de sua participação no mercado, os sistemas operacionais Unix e similares ao Unix, tais como o Linux, são lucrativos para os cibercriminosos, uma vez que o ransomware continua sendo diversificado e cada vez mais desenvolvido no cenário de ameaças.

O motivo? Estes sistemas são uma parte universal das infraestruturas que atendem inúmeras empresas, além de serem usados por estações de trabalho e servidores, frameworks de desenvolvimento de aplicativos e da web, bases de dados, dispositivos móveis, entre outros.

Como já visto em outros ataques, como WannaCry, SAMSAM, Petya ou HDDCryptor, a capacidade de afetar servidores e partes da rede pode potencialmente aumentar esse estrago. Uma única máquina vulnerável em uma rede, às vezes, é o necessário para infectar sistemas e servidores conectados.

Esse é mais um motivo pelo qual os administradores de sistemas/TI devem ter uma abordagem de segurança defense-in-depth (defesa em profundidade). As melhores práticas para atenuar o ransomware incluem:

  • Fazer o backup de arquivos críticos;
  • Desabilitar repositórios não verificados ou de terceiros;
  • Garantir que servidores e endpoints estejam atualizados (ou implantar o virtual patching);
  • Monitoramento regular da rede

Alguns dos mecanismos de segurança que podem ser considerados são:

  • Filtragem de IP, assim como sistemas de detecção e prevenção de invasões;
  • Extensões de segurança no Linux que gerenciam e limitam o acesso aos arquivos ou recursos da rede/sistema;
  • Segmentação da rede e categorização de dados para restringir e mitigar infecções e outros danos aos dados.

Em tempo: A Trend Micro irá atualizar este post assim que novas informações da análise relativa ao ransomware do Linux estiverem disponíveis.

Fonte: TrendMicro