Компанията, доставяща услуги и продукти за информационна и интернет сигурност
Trend Micro алармира за осъществена успешна рансъмуер атака към сървърите на южнокорейска хостинг компания, при която са засегнати били
153 Линукс сървъра и над 3400 бизнес уебсайта, за които компанията се е грижила.
Въпросната компания –
NAYANA – е била атакувана на 10-ти този месец. Два дена по-късно, компанията публикува на страниците на своя блог подробности за инцидента. Авторите на атаката са
поискали над 1.6 милиона долара в биткойни, сума, която NAYANA успяват да намалят до малко над милион, съгласявайки се да платят на три вноски. В обновена публикация от 18.06., компанията споделя, че вече е извършила две вноски, получила е ключове за вторият пакет криптирани сървъри, като съобщават за възникнали грешки с базата данни след процеса на декриптиране.
Trend Micro предава, че макар други опити за атака с
RANSOM_ELFEREBUS (по дефиници от сигнатурната база данни на компанията) около инцидента да са забелязани единствено в Южна Корея, специалистите са регистрирали качени проби от криптовируса във Virus Total от Украйна и Румъния.
Trend Micro не знаят със сигурност вектора за атака, довел до успешното криптиране на информацията, но предполагат, че може да е била използван експлойт за уязвимост по отдалечен път или атакуващата страна да се е възползвала от локална уязвимост. Компанията е стигнала до това заключение, след като е станало ясно, че машината, на която се хоства сайтът на NARAYANA използва
версия на Линукс ядрото 2.6.24.2,, компилирана в далечната 2008г.
„Уязвимости в сигурността, като DIRTY COW, които може да осигурят достъп от най-високо ниво до уязвимите Линукс сървъри е само част от заплахите, на които е била изложена системата. Освен това, сайтът използва Apache 1.3.36 и PHP 5.1.4, версии, публикувани през 2006г. Уязвимостите в Apache и експлойти за PHP са добре известни. Всъщност, знаем за китайски форум, в който се продаваше експлойт за проблема, открит наскоро в Apache Struts“, обясняват Trend Micro.
Що се отнася до самата зловредна програма, става дума за професионално изготвен рансъмуер с многослойно криптиране, като данните е невъзможно да се декриптират без нужния ключ. Това, което е интересно за него е, че той е програмиран с цел да заключва типове файлове и папки, свързани със сървърни системи.
/kaldata.com