Empresa de Web Hosting Sul Coreana infectada por Ransomware paga US$ 1 milhão à hackers

Provedor de hospedagem web Sul Coreano concordou em pagar US$1 milhão em bitcoins para hackers depois que um ransomware Linux infectou seus 153 servidores, criptografando 3.400 sites de negócios e os dados de hospedagem.

De acordo com uma publicação no blog publicada pela NAYANA, a empresa de hospedagem na web, este evento infeliz aconteceu no dia 10 de junho, quando o Ransomware atingiu seus servidores de hospedagem e o atacante exigiu 550 bitcoins (mais de US $ 1,6 milhão) para desbloquear os arquivos criptografados.
No entanto, a empresa negociou com os cibercriminosos e concordou em pagar 397,6 bitcoins (cerca de US $ 1,01 milhão) em três parcelas para que seus arquivos fossem descriptografados.

Em notícia publicada aqui no Minuto da Segurança, citamos o artigo da MindSec que detalha o funcionamento  dos Ransomwares e trás as principais medidas de proteção recomendadas pelos especialistas, clique aqui e confira a notícia e o artigos da MindSec.

De acordo com a notícia no site da Trend Micro , o Ransomware usado no ataque foi o Erebus que foi detectado em setembro do ano passado e foi visto em fevereiro deste ano com as capacidades bupass dos controles de usuário do Windows.
linux-ransomware

Uma vez que os servidores de hospedagem estavam usando Linux Kernel 2.6.24.2, os pesquisadores acreditam que o Ransomware do Erebus Linux pode ter usado vulnerabilidades conhecidas, como ; ou uma vulnerabilidade local do Linux para assumir o acesso root do sistema.

Erebus, o ransomware que visa principalmente usuários na Coréia do Sul, criptografa documentos de escritório, bancos de dados, arquivos e arquivos multimídia usando o algoritmo RSA-2048 e, em seguida, anexa-os com uma extensão .ecrypt antes de exibir a nota de resgate.

“O arquivo primeiro é codificado com criptografia RC4 em blocos de 500kB com chaves geradas aleatoriamente”, dizem os pesquisadores. “A chave RC4 é então codificada com o algoritmo de criptografia AES, que é armazenado no arquivo. A chave AES é novamente criptografada usando o algoritmo RSA-2048 que também está armazenado no arquivo “.

A chave pública que é gerada localmente é compartilhada, enquanto a chave privada é criptografada usando criptografia AES e outra chave gerada aleatoriamente.

De acordo com a análise realizada pelos pesquisadores da Trend Micro, a descriptografia de arquivos infectados não é possível sem usar as chaves RSA.

fonte: The Hackers News by Mohit Kumar
por MindSec 21/06/2017
About mindsecblog 277 Articles

Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.