impacto em servidores linux com Ransomware Erebus

Em 10 de junho, a empresa de hospedagem NAYANA  que está localizada na Coréia do Sul tornou-se uma das mais recentes vítimas de do Ransomware Erebus.

153 de seus servidores Linux foram infectados com uma variante do Ransomware Eresbus (detectada pela Trend Micro como RANSOM_ELFEREBUS.A). O ataque do ransomware afetou os sites, banco de dados e arquivos multimídia de cerca de 3.400 empresas que estavam hospedados nos servidores de hospedagem da NAYANA.

No último aviso publicado no site da empresa, parece que os cibercriminosos obrigaram NAYANA a pagar o resgate, eles pagaram o primeiro dos três pagamentos que eles planejam fazer para todas as chaves necessárias para descriptografar os arquivos infectados. No entanto, NAYANA ainda não recebeu a primeira chave de descriptografia.

O Eresbus Ransomware ( RANSOM_EREBUS.A ) surgiu em setembro de 2016 sendo distribuído por propagandas (propagandas maliciosas). Os anúncios maliciosos desviaram vítimas para o kit Rig exploit , que infecta os sistemas da vítima com o Ransomware. Esta variante Erebus tem como alvo 423 tipos de arquivos, codifica arquivos com algoritmo de criptografia RSA-2048 e anexa os arquivos afetados com a extensão .ecrypt. Esta versão do Erebus foi observada usando sites comprometidos na Coréia do Sul como seus servidores de comando e controle (C & C).

Em fevereiro de 2017, Erebus descobriu que evoluiu e mudou de tática , usando uma técnica que ignora o Controle de Conta de Usuário (UAC) – um recurso do Windows que ajuda a evitar mudanças não autorizadas no sistema – para executar o ransomware com privilégios elevados. Em sua nota de resgate, o Erebus ameaça excluir os arquivos da vítima dentro de 96 horas, a menos que o resgate seja pago. Esta versão (RANSOM_EREBUS.TOR) também exclui backups para evitar que as vítimas recuperem seus arquivos.

Erebus Ransomware agora pode infectar servidores

A variante que infectou os servidores da NAYANA é o ransomware Erebus portado para servidores Linux. A análise contínua da Trend Micro indica que esta versão usa o algoritmo RSA para criptografar chaves AES; Os arquivos infectados são criptografados com chaves AES exclusivas. Seus mecanismos de persistência incluem a adição de um falso serviço Bluetooth para garantir que o ransomware seja executado mesmo após o sistema ou o servidor ser reiniciado. Ele também emprega o utilitário UNIX cron-a em sistemas operacionais semelhantes a Unix, como o Linux, que agende tarefas por meio de comandos ou scripts de shell – para verificar a cada hora se o ransomware estiver sendo executado. Semelhante ao caso de NAYANA.

Esta iteração do Erebus visa 433 tipos de arquivos, alguns dos quais incluem:

Documentos do Office (.pptx, .docx, .xlsx)
Bancos de dados (.sql, .mdb, .dbf, .odb)
Arquivos (.zip, .rar)
Arquivos de e-mail (.eml, .msg)
Arquivos de projetos relacionados ao site e ao desenvolvedor (.html, .css, .php, .java)
Arquivos multimídia (.avi, .mp4)

O Erebus não é o primeiro malware criptografador de arquivos direcionados a sistemas Linux, ou mesmo servidores. Linux.

O ransomware Linux surgiu em 2014 e foram ramificações de projetos de código aberto supostamente concebidos para fins educacionais. SAMSAM, Petya e Crysis ransomware são apenas algumas conhecidas variaveis por atingir e quebrar segurança de servidores.

Enquanto o Linux ransomware não está tão estabelecido ou maduro como o ransomware no Windows, eles ainda podem apresentar um impacto significativo para usuários e especialmente para empresas. Como exemplificado pela NAYANA, o Linux é um sistema operacional muito popular no segmento de servidores.

O impacto do ransomware como o Erebus , destaca a importância de proteger os servidores e desktops.

Aqui estão algumas das melhores práticas que os administradores de TI e os profissionais de segurança da informação podem adotar para proteger seu sistema.

Mantenha o sistema operacional e o servidor atualizado.

Uma política de gerenciamento de patches forte deve ser aplicada para garantir que o sistema e o servidor tenham os últimos patches, correções e kernel.

Evite ou minimize a adição de repositórios ou pacotes de terceiros ou desconhecidos. Isso limita as vulnerabilidades que os invasores podem usar como pontos de entrada no servidor ou no sistema.

Os riscos podem diminuir ainda mais ao remover ou desabilitar componentes ou serviços desnecessários no servidor.

Aplique o princípio do mínimo privilégio.

Restringir permissões / privilégios também ajuda a mitigar a exposição e outros danos, além de impedir o uso não autorizado.

Proteger a rede contra ameaças é uma obrigação para qualquer empresa.

A implantação de sistemas de detecção e prevenção de intrusão e firewalls ajuda a identificar, filtrar e bloquear o tráfego, o que pode indicar uma infecção por malware.

Por fim, o bom e velho backup…faça backup de seus arquivos (principalmente backup externo).

Fonte original da noticia:

https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/erebus-linux-ransomware-impact-to-servers-and-countermeasures