Destacat »

16 setembre 2017 – 17:14

Denunciarem sense pal·liatius davant les organitzacions internacionals l’abús que l’estat espanyol està fent al tancar, prohibir i denegar l’accés a informació absolutament legal i lícita.

Read the full story »
Col·legi

el Col·legi, informació rellevant sobre el COEINF, activitats, relacions i varis

Formació

formació continuada i orientació professional, convenis de formació amb altres entitats

Esdeveniments

tots els esdeveniments rellevants del sector TIC

Informes

informes, estudis, enquestes, … relacionats amb les tecnologies de la informació

Professió

món laboral, emprenedors, enginyers en informàtica, entrevistes, certificacions, deontologia, carreres professionals, …

Home » Notícies

Erebus, el ransomware que amenaça a centenars de servidors Linux

Submitted by on 27 juny 2017 – 9:00No Comment
Share Button

Després del fenomen mediàtic de WannaCry, un nou ransomware fa la seva reaparició estel·lar … amb els servidors Linux en el punt de mira.

Moltes vegades tendim a pensar que els sistemes operatius alternatius a Windows – com Linux o MacOS – són immunes a les ciberamenaces. Però res més lluny de la realitat: si bé són objecte de molts menys atacs (tant per la seva millor qualitat tècnica com per una simple relació d’oferta-demanda per part dels ciberdelinqüents) també pateixen incidents d’enorme calat, com el que hem conegut aquesta setmana.

Com si d’un relat es tractés, hem de remuntar-nos a un passat no molt llunyà: el passat 10 de juny. Aquest dia, la companyia de hosting web Nayana -radicada a Corea del Sud- va patir l’atac d’un ransomware anomenat ‘Erebus’. En total, 153 dels seus servidors Linux es van veure infectats per una variant d’aquest virus (RANSOM_ELFEREBUS.A) que va afectar a les webs, bases de dades i arxius multimèdia de prop de 3.400 empreses que utilitzen els serveis d’aquest proveïdor.

Com sol succeir en aquesta sèrie d’atacs mitjançant ransomware (com l’arxiconegut WannaCry), els delinqüents van exigir a Nayana l’abonament d’un rescat en tres pagaments. En la seva nota, Erebus amenaça amb esborrar els arxius de la víctima dins de les 96 hores següents a menys que es pagui el rescat, que és 0,085 Bitcoin (216 dòlars, a 15 de juny de 2017). La firma, després de valorar totes les opcions , va optar per realitzar el primer d’aquests pagaments per poder desxifrar les dades dels seus clients però no ha obtingut encara la primera clau per a això.

Aquesta variant de Erebus té com a objectiu 433 tipus d’arxius, alguns dels quals inclouen documents d’Office (.pptx, .docx, .xlsx), bases de dades (.sql, .mdb, .dbf, .ODB), arxius ( .zip, .rar), fitxers de correu electrònic (.eml, .msg), arxius de projecte del desenvolupador i del lloc web (.html, .css, .php, .java) i arxius multimèdia (.avi, .mp4).

Un ransomware evolucionat

Recordem que el ransomware Erebus (RANSOM_EREBUS.A) va aparèixer per primera vegada al setembre de 2016, i es distribuïa per malvertisements (anuncis maliciosos), els quals desviaven a les víctimes a l’exploit kit Rig, que infecta els sistemes de la víctima amb ransomware que atacaven als servidors de comandament i control.

Al febrer de 2017, es va descobrir que Erebus havia evolucionat i canviat les seves tàctiques, utilitzant una tècnica que evita el Control de Comptes d’Usuari (UAC) – una funció de Windows que ajuda a prevenir que es produeixin canvis no autoritzats en el sistema- per executar el ransomware amb privilegis elevats.

La versió que ha afectat Nayana, descoberta per l’empresa de seguretat Trend Micro,  inclou un fals servei Bluetooth afegit per garantir que el ransomware s’executi fins i tot després de reiniciar el sistema o al servidor. També empra UNIX cron, una funció de sistemes operatius com Unix i Linux que programa treballs a través d’ordres o scripts de shell per verificar cada hora si el ransomware s’està executant.

Llarga història de malware per a Linux

Erebus no és el primer malware de xifrat d’arxius dirigit a sistemes Linux, ni tan sols a servidors. Linux.Encoder, Encryptor RaaS, una versió de KillDisk, Rex, Fairware i KimcilWare són tots capaços de dirigir a màquines que executen Linux. De fet, el ransomware per a Linux va aparèixer ja en 2014, i van ser ramificacions de projectes suposadament de codi obert dissenyat amb fins educatius. Els ransomware SamSam, Petya i Crysis són només algunes de les famílies conegudes per atacar i provocar bretxes en servidors.

Alberto Iglesias Fraga – TICbeat

Etiquetes: , ,

Aquesta web utilitza 'cookies' pròpies i de tercers per oferir-te una millor experiència i servei. Al navegar o utilitzar els nostres serveis, acceptes l'ús que fem de les 'cookies'. De tota manera, pots canviar la configuració de 'cookies' en qualsevol moment ACEPTAR
Aviso de cookies
Check Our FeedVisit Us On LinkedinVisit Us On TwitterVisit Us On Facebook