- PVSM.RU - https://www.pvsm.ru -
Провайдер хостинг-услуг из Южной Кореи на днях выплатил разработчикам программы криптовымогателя около $1 млн в криптовалюте. Почему так много? Дело в том, что ransomware заразило 153 сервера, работающих на Linux. На этих серверах размещается 3400 сайтов клиентов компании.
Изначально разработчики зловреда хотели получить около $4,4 млн. Компания заявила, что это слишком много, и она не в состоянии выплатить такую сумму. После этого киберпреступники согласились умерить аппетиты, удовольствовавшись «всего» $1 млн. Сейчас сотрудники компании занимаются восстановлением данных. Это не такой и быстрый процесс, поэтому клиентам придется подождать, пока все их сайты и сервисы снова начнут работать.
«Это сложная задача, но я делаю все, что от меня зависит, и я сделаю все, чтобы восстановить работоспособность серверов», — заявил [1] представитель компании.
Стоит отметить, что основная проблема с этим зловредным ПО в том, что работает он с Linux. Ramsomware получило название Erebus (ранее был вариант этого зловреда, атакующий Windows-системы). Каким образом вирус проник на сервера компании, пока неясно. Техническая поддержка разбирается, стараясь понять, что все-таки произошло.
Сторонние эксперты, которые также занялись изучением ситуации, утверждают [2], что проблема может быть в устаревшем программном обеспечении, которое использовалось хостером. Например, сайт Nayana работал на сервере с Linux с версией ядра 2.6.24.2 (2008 год). В этой версии много уязвимостей, включая Dirty Cow, которая позволяет злоумышленникам получать рут-доступ к системе. Кроме устаревшей версии ядра, компания работала с Apache версии 1.3.36 и PHP версии 5.1.4, все они были выпущены еще в 2006 году. Излишним будет говорить, что злоумышленники за прошедшие десять лет изучили это ПО вдоль и поперек, научившись взламывать все, что им нужно.
Erebus впервые появился [3] в сентябре 2016 года (вернее, впервые был обнаружен). Затем вышла его обновленная версия, это случилось в феврале 2017 года. Тогда разработчики «научили» свой продукт обходить User Account Control в Windows.
Интересно, что сейчас Linux-версия Erebus действует, в основном, в Южной Корее. Может быть, потому, что не только Nayana использует устаревшее ПО, но и другие хостинг-компании в этом регионе делают то же.
Header (0x438 bytes) |
RSA-2048-encrypted original filename |
RSA-2048-encrypted AES key |
RSA-2048-encrypted RC4 key |
RC4-encrypted data |
Сделать это можно лишь при помощи ключа, который нужно купить у злоумышленников. Дело в том, что сначала файлы шифруются посредством RC4 поблочно, с размером блока в 500 КБ. Ключи для каждого блока генерируются рандомно. Затем кодируется уже ключ RC4, это делается при помощи алгоритма AES, сохраняемого в файле. И уже этот ключ шифруется алгоритмом RSA-2048, который также сохраняется в файле. Эти ключи генерируются локально и они доступны. Но это открытые ключи, а вот закрытые шифруются при помощи AES и другого рандомно генерируемого ключа.
Версия Erebus, о которой идет речь, шифрует 433 различных типа файлов. Как и говорилось выше, получить приватный ключ каким-либо иным методом, кроме как выкупить его у злоумышленников нельзя. В этом убедились сразу несколько специалистов, которые проводили анализ атаки.
Сейчас
А в ноябре прошлого года из-за криптовымогателя все пассажиры [6] узкоколейной железной дороги Сан-Франциско получили возможность ездить бесплатно. Дело в том, что криптовымогатель зашифровал все платежные терминалы транспортной компании San Francisco Municipal Transportation Agency (SFMTA [7]).
В прошлом году заплатила разработчикам ransomware и больница, сервера которой тоже были заражены зловредным ПО. На данный момент рекордсменом по выплатам, насколько можно судить, является компания Nayana, о которой шла речь выше. Возможно, кто-то платил и больше, но об этих случаях ничего неизвестно, скорее всего, жертвы просто хотят остаться неизвестными.
Автор: marks
Источник [8]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/linux/258338
Ссылки в тексте:
[1] заявил: http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=957
[2] утверждают: http://blog.trendmicro.com/trendlabs-security-intelligence/erebus-resurfaces-as-linux-ransomware/
[3] появился: https://www.theregister.co.uk/2017/06/20/south_korean_webhost_nayana_pays_ransom/
[4] хостер: https://www.reg.ru/?rlink=reflink-717
[5] купила: https://geektimes.ru/post/271468/
[6] все пассажиры: https://geektimes.ru/post/283108/
[7] SFMTA: https://www.sfmta.com/
[8] Источник: https://geektimes.ru/post/290253/
Нажмите здесь для печати.