10 июня южнокорейская хостинговая компания NAYANA стала жертвой атаки вируса-вымогателя Erebus (обнаружен Trend Micro как RANSOM_ELFEREBUS.A). В результате было заражено 153 Linux-сервера и более 3400 бизнес-сайтов, которые размещает
В сообщении, опубликованном на сайте NAYANA 12 июня, компания сообщила, что злоумышленники потребовали беспрецедентный по размеру выкуп в 550 биткоинов (BTC) или 1,62 миллиона долларов за расшифровку файлов на всех заражённых серверах. Вот часть переговоров с вымогателями:
Мой босс сказал мне дать вам хорошую цену, так как вы покупаете много машин,
550 BTC
Если у вас недостаточно денег, вам нужно взять кредитУ вас 40 сотрудников,
Годовой оклад каждого сотрудника 30 000 долларов США
Все сотрудники 30 000 * 40 = $ 1 200 000
Все сервера 550BTC = $ 1,620,000Если вы не можете заплатить, вы банкрот.
Вам придётся смотреть в глаза своим детям, жене, клиентам и сотрудникам.
Также вы потеряете вашу репутацию и бизнес.
Вы получите множество судебных исков.
Позднее 14 июня NAYANA сообщила о договорённости по выплате в рассрочку суммы в размере 397,6 BTC (около 1,01 миллиона долларов США по состоянию на 19 июня 2017 года). 17 июня компания сообщила, что проведён второй из трёх платежей. 18 июня NAYANA начала восстанавливать сервера партиями. В настоящее время на некоторых серверах второй партии имеются ошибки баз данных. Третий платеж будет выплачен после успешного восстановления первой и второй партии серверов.
Хотя это не сопоставимо по сумме выкупа, случай напоминает произошедшее с больницей в Канзасе, сотрудники которой не получили полный доступ к зашифрованным файлам после выплаты. Вместо этого вымогатель требовал выкуп повторно.
Erebus был впервые замечен в сентябре 2016 года, тогда он распространялся через вредоносную рекламу. Вновь он появился в феврале 2017 года, уже используя метод, который обходил контроль учётной записи Windows. Вот некоторые из технических подробностей, которые доступны о Linux-версии Erebus:
Рисунок 1: Erebus имеет многоязычное уведомление о выкупе (вариант на английском языке выше)
Рисунок 2: Кадр демонстрационного видео от злоумышленников, в котором показано, как расшифровать файлы
Возможный вектор вирусных атак
Что касается того, как заражаются Linux-системы, мы можем только предположить, что Erebus, возможно, использовал эксплойт Linux. Например, на основе информации с открытым исходным кодом исследователи установили, что сайт NAYANA работает на ядре Linux 2.6.24.2, которое было скомпилировано ещё в 2008 году. Поэтому угрозы безопасности, такие как DIRTY COW, могут предоставить злоумышленникам root-доступ к уязвимым Linux-системам.
Кроме того, на веб-сайте NAYANA используются устаревшие версии Apache 1.3.36 и PHP 5.1.4, обе из которых были выпущены еще в 2006 году. Используемая NAYANA версия Apache запускается под пользователем nobody(uid=99), что указывает на то, что некоторые ранее известные эксплойты также могли быть использованы в атаке.
Рисунок 3: Erebus Linux Rasomware
Стоит отметить, что этот вирус-вымогатель ограничен по географическому охвату и, по сути, атаки сконцентрированы в Южной Корее. Однако, данные сервиса VirusTotal показывают иное — несколько образцов также были получены из Украины и Румынии. Возможной причиной может быть то, что они были отправлены другими исследователями в области информационной безопасности.
Процедура шифрования
Каждый файл, зашифрованный Erebus, будет иметь следующий формат:
Header (0x438 bytes) |
RSA-2048-encrypted original filename |
RSA-2048-encrypted AES key |
AES-encrypted RC4 key |
RC4-encrypted data |
Сначала каждый отдельный файл, разбивается на блоки по 500 КБ и скремблируется с помощью алгоритма шифрования RC4 со случайно сгенерированными ключами. Затем ключ RC4 кодируется алгоритмом шифрования AES. AES-ключ снова зашифровывается с использованием алгоритма RSA-2048, открытый ключ которого сохраняется в файле.
Каждый файл имеет один общий для всех открытый ключ RSA-2048. Ключи RSA-2048 формируются локально, при этом необходимый для расшифровки закрытый ключ сохранён в зашифрованном при помощи дополнительного случайно сгенерированного (возможно, в том числе на основе Machine ID) AES-ключа. Анализ показывает, что дешифрование невозможно без получения RSA-ключей.
Целевые типы файлов
Обычно шифрование направлено на офисные документы, базы данных, архивы и мультимедийные файлы. Это характерно и для этой версии Erebus, которая шифрует 433 типа файлов, но также наблюдается направленность на шифрование веб-серверов и данных, хранящихся на них.
В таблице ниже указаны папки, которые ищет Erebus.
var/www/ — папки, в которых хранятся файлы/данные веб-сайтов, а файлы ibdata используются в MySQL:
Included directories: | Excluded directories: |
var/www/ | $/bin/ |
Included files: | $/boot/ |
ibdata0 | $/dev/ |
ibdata1 | $/etc/ |
ibdata2 | $/lib/ |
ibdata3 | $/lib64/ |
ibdata4 | $/proc/ |
ibdata5 | $/run/ |
ibdata6 | $/sbin/ |
ibdata7 | $/srv/ |
ibdata8 | $/sys/ |
ibdata9 | $/tmp/ |
ib_logfile0 | $/usr/ |
ib_logfile1 | $/var/ |
ib_logfile2 | /.gem/ |
ib_logfile3 | /.bundle/ |
ib_logfile4 | /.nvm/ |
ib_logfile5 | /.npm/ |
Как защититься?
Одной уязвимой машины в сети иногда достаточно, чтобы заразить все подключенные системы и серверы. Учитывая риски для операционной деятельности, репутации и прибыли, компании должны проявлять инициативу в устранении таких угроз. Рекомендации по снижению рисков включают в себя:
- Резервное копирование важных файлов
- Отключение или минимизация количества сторонних или непроверенных репозиториев
- Применение принципа наименьших привилегий
- Обновление ПО серверов и терминалов (или использование виртуальных патчей)
- Регулярный мониторинг сети
- Проверка журналов событий для обнаружения признаков вторжения или заражения
Хеш-функции SHA256 RANSOM_ELFEREBUS.A:
0b7996bca486575be15e68dba7cbd802b1e5f90436ba23f802da66292c8a055f
d889734783273b7158deeae6cf804a6be99c3a5353d94225a4dbe92caf3a3d48
Мы обновим этот пост в случае, если будет получена новая информация об особенностях распространения вируса.
Автор: Cloud4Y