2017/06/21

Empresa sul-coreana paga $1 milhão de resgate a ransomware


Se o ransomware é capaz de fazer desesperar um utilizador comum, o que pensam que acontecerá caso infecte uma empresas de alojamento na web? A sul-coreana Nayana teve a infelicidade de descobrir... e pagar um milhão de dólares para recuperar os seus dados e dos seus clientes.

Desta vez o malvado malware não foi o WannaCry que recentemente saltou para a popularidade, mas sim o Erebus, um ransomware que tem estado direccionado para ataques na Coreia do Sul - e a táctica parece ter funcionado. A Nayana é uma empresa de web hosting que foi infectada por este ransomware no passado dia 10 de Junho, ficando com mais de 3000 sites de clientes bloqueados.

Inicialmente os atacantes estavam a pedir 550 bitcoins (cerca de 1.6 milhões de dólares), mas após algumas negociações aceitaram fazer um "desconto" e reduzir o valor a pagar para apenas 397 bitcoins (aproximadamente 1 milhão de dólares); valor que lhes garante o resgate mais elevado já pago para reaver dados de ransomware - pelo menos, dos que se conhecem publicamente. Em comparação o WannaCry, que infectou mais de 200 mil computadores, só terá rendido cerca de 127 mil dólares.

Dito de outra forma, já se certificaram que têm backups dos vossos dados, e que esses backups poderão resistir a um ataque de ransomware? E se confiam totalmente na cloud para os manter em segurança... perguntem aos clientes da Nayana se acham que isso é conveniente.

5 comentários:

  1. As for how this Linux ransomware arrives, we can only infer that Erebus may have possibly leveraged vulnerabilities or a local Linux exploit. For instance, based on open-source intelligence, NAYANA’s website runs on Linux kernel 2.6.24.2, which was compiled back in 2008. Security flaws like DIRTY COW that can provide attackers root access to vulnerable Linux systems are just some of the threats it may have been exposed to.
    Additionally, NAYANA’s website uses Apache version 1.3.36 and PHP version 5.1.4, both of which were released back in 2006. Apache vulnerabilities and PHP exploits are well-known; in fact, there was even a tool sold in the Chinese underground expressly for exploiting Apache Struts. The version of Apache NAYANA used is run as a user of nobody(uid=99), which indicates that a local exploit may have also been used in the attack.

    From:https://arstechnica.com/security/2017/06/web-host-agrees-to-pay-1m-after-its-hit-by-linux-targeting-ransomware/

    ResponderEliminar
  2. Sumariando:
    Linux kernel 2.6.24.2 compiled in 2008
    Apache version 1.3.36 released in 2006
    PHP version 5.1.4 released in 2006
    Apache NAYANA used is run as a user of nobody(uid=99)

    ResponderEliminar
  3. Ajuizando pelo comentário do Ricardo Teixeira, o alerta geral nem é tanto "fazes cópias de segurança?" mas sim "conheces a empresa a quem estás a confiar os teus dados?"

    ResponderEliminar
    Respostas
    1. Pois... mas até que ponto é que se pode fazer uma "auditoria" a todas as empresas que utilizamos de forma directa ou indirecta?

      (Eu já tenho por hábito fazer sempre a recuperação de password em todos os serviços em que me registo, só para saber se são daqueles que enviam a password por plaintext via email... :)

      Eliminar
  4. PHP 5.1?
    Sem backups?
    #GenteBurraTemQueSeFuder

    ResponderEliminar