Hosting kompanija platila milion dolara otkupninu za ransomware!

Južnokorejski web hosting provajder NAYANA platio je čak milion dolara hakerima nakon što je Linux ransomware inficirao 153 servera i zaključao 3.400 poslovnih vebsajtova i podatke na njima. Ransomware napad se dogodio 10. juna, a napadači su najpre tražili otkupninu u iznosu od 550 bitcoina (1.6 miliona dolara). Nakon pregovora, napadači su pristali da otključaju fajlove za 397,6 bitcoina (1.01 milion dolara) koje je kompanija trebalo da isplati u 3 rate. Kompanija je već isplatila 2 rate, a platiće i treću nakon što vrate fajlove sa 2/3 pogođenih servera.

U napadu je korišćen ransomware Erebus koji je prvobitno primećen septembra 2016. godine, a u februaru ove godine korišćen je za napad na Windows OS.

S obzirom na to da hosting serveri koriste Linux kernel 2.6.24.2, pretpostavlja se da je Erebus Linux ransomware iskoristio poznate Linux ranjivosti poput Dirty Cow ili lokalne Linux eksploatacije kako bi dobio root pristup.

Erebus je ransomware čije su primarne mete korisnici iz Južne Koreje. On zaključava office dokumenta, baze podataka, arhive i multimedijalne fajlove pomoću RSA-2048 algoritma, a zatim im dodaje .ecrypt ekstenziju pre nego što prikaže poruku o otkupnini.

Fajl se najpre šifruje sa RC4 enkripcijom pomoću blokova od 500kB i sa nasumično generisanim ključevima. Onda se RC4 ključ šifruje pomoću AES enkripcijskog algoritma koji je smešten u fajlu. AES ključ se dalje šifruje pomoću RSA-2048 algoritma koji je takođe smešten u fajlu.

Javni ključ (koji se generiše lokalno) se deli, dok je privatni ključ šifrovan pomoću AES enkripcije i još jednog nasumično generisanog ključa.

Otključavanje fajlova (još uvek) nije moguće bez RSA ključa. To znači da je prevencija najbolja odbrana od ovog (i drugih) ransomware napada. Potrebno je u organizacijama podići svest o ransomware napadima i redovno bekapovati (uz stalnu rotaciju bekapa).

Preporučene mere prevencije i savete šta raditi ako se zarazite ransomwareom, pronaći ćete u našoj Ransomware best practice listi.

Izvor: thehackernews.com