Bom mais uma vez venho falar sobre Ransomware, e parece que este ano eles acabaram virando moda pois diversas noticias sobre tecnologia uma delas fala sobre este “virus”. No ultimo post falei sobre linux e sua segurança, e que em maio deste ano o WannaCry ficou famoso por infectar diversos computadores com sistema Windows que estavam desatualizados, e agora o linux tambem foi uma vitima de um ransomware chamado “Erebus”, que fez uma empresa coreana ter 153 servidores linux sequestrados. Vamos entender agora o que aconteceu.
Servidores linux sequestrados por ransomware
O ransomware em questão é o Erebus, que foi originalmente criado para Windows, mas recebeu modificações para funcionar no Linux. Ele atacou a Nayana Internet no dia 12 de junho e, inicialmente, pedia 5 bilhões de wons (aproximadamente R$ 14,5 milhões) em bitcoins para recuperar os dados. Depois de negociações com os criminosos, o valor do resgate caiu para 1,2 bilhão de wons (R$ 3,5 milhões).
O ransomware criptografa os dados do servidor e cria um arquivo chamado _DECRYPT_FILE.txt com as instruções de recuperação e um código de identificação da máquina sequestrada. Aparentemente, a variante do Erebus foi pensada para servidores web, já que afeta o diretório /var/www (onde normalmente são guardados os arquivos dos sites) e os arquivos ibdata, do banco de dados MySQL.
Entendendo o problema
Se vocês procurarem nas noticias vão ver que o problema não foi o linux em si mas sim uma falta de atualização pois de acordo com pesquisas e estudos da Trend Micro, é possível afirmar que o Erebus pode ter vulnerabilidades possivelmente potencializadas ou um explorador Linux local.
Com base na inteligência open-source, o site da NAYANA é executado em um Linux kernel 2.6.24.2, que foi compilado em 2008. Falhas de segurança, como o DIRTY COW, que podem proporcionar aos invasores um acesso irrestrito (como acesso root) à sistemas Linux vulneráveis são apenas algumas das ameaças aos quais o sistema pode ter sido exposto.
Além disso, o site da NAYANA usa o Apache versão 1.3.36 lançado em 2006, sistema pelo qual as explorações das vulnerabilidades são bem conhecidas. Segundo a Trend Micro, é vendida até mesmo uma ferramenta no submundo chinês para exploração maliciosa do Apache Struts.
A versão do Apache utilizada pela NAYANA é executada como usuário “nobody” (uid=99) que indica que um explorador local pode ter sido usado no ataque.
Considerações finais
Podemos perceber que foi um ataque local e não espalhado e possivelmente porque a empresa utilizava um sistema defasado com diversas falhas já conhecidas.
Como já visto em outros ataques, como WannaCry, SAMSAM, Petya ou HDDCryptor, a capacidade de afetar servidores e partes da rede pode potencialmente aumentar esse estrago. Uma única máquina vulnerável em uma rede, às vezes, é o necessário para infectar sistemas e servidores conectados.
Já falei aqui no blog sobre segurança algumas vezes e conforme as noticias aparem vemos que uma má administração de TI pode trazer consequências desastrosas e muito prejuízo, abaixo vou deixar o link onde falo sobre algumas dicas para evitar prejuízos maiores.
Até a próxima!
Sobre o Autor