fbpx

A mais nova vítima de ataques via ransomware é uma empresa de hospedagem de sites na Coreia. Tirando do ar mais de 3.400 sites de seus clientes o malware para Linux, uma versão do Erebus, afetou 153 servidores no total. Os cibercriminosos pediram um resgate no valor de 5 bilhões de wons (algo equivalente a R$ 14,5 milhões) para devolver os arquivos sequestrados.

Erebus Nayana
O malware em questão é o Erebus que originalmente foi criado para Windows, mas recebeu modificações para funcionar no Linux. O ataque a Nayana Internet ocorreu no dia 12 de junho. Depois de muitas negociações com os criminosos, o valor do resgate caiu para 1,2 bilhão de wons (R$ 3,5 milhões). Não se sabe exatamente como o Erebus atacou os servidores, mas a especulações que o ransomware se aproveitou de algum exploit no kernel do Apache ou do PHP. Sabe-se que a Nayana estava com versões desatualizadas destes softwares, utilizando uma versão de PHP lançada em 2006.

Erebus Nayana

Após a contaminação, o Erebus criptografa dados do servidor e cria um arquivo chamado _DECRYPT_FILE.txt onde constam informações sobre a recuperação. A Nayana Internet conseguiu negociar o pagamento do resgate em três parcelas à medida em que conseguisse recuperar os arquivos de seus clientes.

Ataques de ransomware têm acontecido mais frequência e preocupam especialistas e empresas em todo o mundo. Em maio, outra praga virtual, o WannaCrypt, atingiu empresas em vários lugares do mundo, chegando até mesmo ao Brasil, onde infectou máquinas de órgãos públicos. Há alguns dias, a Microsoft decidiu liberar atualizações para versões antigas do Windows, como o Windows XP que já não mais tinham suporte, justamente por conta desse tipo de ameaça.
Tudo leva a crer que esta variante do Erebus foi pensada para servidores web, pois afeta o diretório /var/www (local onde normalmente são guardados os arquivos dos sites) e os arquivos ibdata, do banco de dados MySQL.

Voltar