Южнокорейская хостинг-компания заплатила $1 млн разработчикам Linux-версии криптовымогателя Erebus

Провайдер хостинг-услуг из Южной Кореи на днях выплатил разработчикам программы криптовымогателя около $1 млн в криптовалюте. Почему так много? Дело в том, что ransomware заразило 153 сервера, работающих на Linux. На этих серверах размещается 3400 сайтов клиентов компании.

Изначально разработчики зловреда хотели получить около $4,4 млн. Компания заявила, что это слишком много, и она не в состоянии выплатить такую сумму. После этого киберпреступники согласились умерить аппетиты, удовольствовавшись «всего» $1 млн. Сейчас сотрудники компании занимаются восстановлением данных. Это не такой и быстрый процесс, поэтому клиентам придется подождать, пока все их сайты и сервисы снова начнут работать.

«Это сложная задача, но я делаю все, что от меня зависит, и я сделаю все, чтобы восстановить работоспособность серверов», — заявил ^[1] представитель компании.

Стоит отметить, что основная проблема с этим зловредным ПО в том, что работает он с Linux. Ramsomware получило название Erebus (ранее был вариант этого зловреда, атакующий Windows-системы). Каким образом вирус проник на сервера компании, пока неясно. Техническая поддержка разбирается, стараясь понять, что все-таки произошло.

Сторонние эксперты, которые также занялись изучением ситуации, утверждают ^[2], что проблема может быть в устаревшем программном обеспечении, которое использовалось хостером. Например, сайт Nayana работал на сервере с Linux с версией ядра 2.6.24.2 (2008 год). В этой версии много уязвимостей, включая Dirty Cow, которая позволяет злоумышленникам получать рут-доступ к системе. Кроме устаревшей версии ядра, компания работала с Apache версии 1.3.36 и PHP версии 5.1.4, все они были выпущены еще в 2006 году. Излишним будет говорить, что злоумышленники за прошедшие десять лет изучили это ПО вдоль и поперек, научившись взламывать все, что им нужно.

Erebus впервые появился ^[3] в сентябре 2016 года (вернее, впервые был обнаружен). Затем вышла его обновленная версия, это случилось в феврале 2017 года. Тогда разработчики «научили» свой продукт обходить User Account Control в Windows.

Интересно, что сейчас Linux-версия Erebus действует, в основном, в Южной Корее. Может быть, потому, что не только Nayana использует устаревшее ПО, но и другие хостинг-компании в этом регионе делают то же.

Сделать это можно лишь при помощи ключа, который нужно купить у злоумышленников. Дело в том, что сначала файлы шифруются посредством RC4 поблочно, с размером блока в 500 КБ. Ключи для каждого блока генерируются рандомно. Затем кодируется уже ключ RC4, это делается при помощи алгоритма AES, сохраняемого в файле. И уже этот ключ шифруется алгоритмом RSA-2048, который также сохраняется в файле. Эти ключи генерируются локально и они доступны. Но это открытые ключи, а вот закрытые шифруются при помощи AES и другого рандомно генерируемого ключа.

Версия Erebus, о которой идет речь, шифрует 433 различных типа файлов. Как и говорилось выше, получить приватный ключ каким-либо иным методом, кроме как выкупить его у злоумышленников нельзя. В этом убедились сразу несколько специалистов, которые проводили анализ атаки.

Сейчас хостер ^[4] тесно сотрудничает с правоохранительными органами Южной Кореи для того, чтобы попытаться обнаружить злоумышленников. Но, конечно, кроме поисков компании стоит сначала восстановить работоспособность серверов и данные клиентов, затем обновить устаревшее программное обеспечение, и только затем направить все усилия на работу по поиску злоумышленников.

Хостер ^[4] из Южной Кореи — не единственная организация, кому пришлось заплатить злоумышленникам. В прошлом году ключ к расшифровке файлов купила ^[5] школа из США, на сервера которой была осуществлена успешная атака. Правда, в этом случае речь шла не о миллионе долларов США, а о $8500.

А в ноябре прошлого года из-за криптовымогателя все пассажиры ^[6] узкоколейной железной дороги Сан-Франциско получили возможность ездить бесплатно. Дело в том, что криптовымогатель зашифровал все платежные терминалы транспортной компании San Francisco Municipal Transportation Agency (SFMTA ^[7]).

В прошлом году заплатила разработчикам ransomware и больница, сервера которой тоже были заражены зловредным ПО. На данный момент рекордсменом по выплатам, насколько можно судить, является компания Nayana, о которой шла речь выше. Возможно, кто-то платил и больше, но об этих случаях ничего неизвестно, скорее всего, жертвы просто хотят остаться неизвестными.

Автор: marks

Источник ^[8]