El impacto del ‘ransomware’ Erebus para Linux.

NAYANA, empresa sudcoreana infectada por este ‘malware’, pagó el primero de los tres pagos que debía realizar antes de recibir las claves para recuperar sus archivos pero desde el 10 de junio no ha recibido nada.

La compañía sudcoreana de alojamiento web NAYANA se convirtió el pasado 10 de junio en una de las últimas víctimas del cibercrimen después de que 153 de sus servidores Linux se vieran infectados con una variante del ransomware Erebus, un virus detectado por Trend Micro. El ataque afectó a las web, bases de datos y archivos multimedia de alrededor de 3.400 empresas que utilizan los servicios de NAYANA.

Por lo visto, los ciberdelincuentes obligaron a NAYANA a pagar el rescate y ésta procedió a pagar el primero de los tres pagos que debía realizar antes de recibir las claves necesarias para descifrar los archivos infectados. Sin embargo, la compañía aún no ha recibido la primera clave de descifrado.  

El análisis que está llevando a cabo Trend Micro indica que esta versión utiliza el algoritmo RSA para cifrar las claves AES; los archivos infectados se cifran con claves AES únicas. Sus mecanismos de permanencia incluyen un falso servicio Bluetooth añadido para garantizar que el ransomware se ejecute incluso después de reiniciar el sistema o el servidor. También emplea UNIX cron, una función de sistemas operativos como Unix y Linux que programa trabajos a través de comandos o scripts de shell para verificar cada hora si el ransomware se está ejecutando. Similar al caso de NAYANA, originalmente pedía 10 Bitcoins (24.689 dólares), pero el rescate ha bajado a 5 BTC (12.344 dólares).

El ransomware Erebus apareció por primera vez en septiembre de 2016, y se distribuía por malvertisements. Estos anuncios maliciosos desviaron a las víctimas al exploit kit Rig, que infecta los sistemas de la víctima con ransomware. Esta variante Erebus tiene como objetivo 423 tipos de archivos, archivos de codificación con el algoritmo de cifrado RSA-2048 y anexa los archivos afectados con la extensión .ecrypt. Esta versión de Erebus se observó utilizando sitios web comprometidos en Corea del Sur como sus servidores de comando y control (C&C).

En febrero de 2017 se descubrió que Erebus había evolucionado y cambiado sus tácticas, utilizando una técnica que evita el Control de Cuentas de Usuario (UAC) -una función de Windows que ayuda a prevenir que se produzcan cambios no autorizados en el sistema- para ejecutar el ransomware con privilegios elevados. En su nota de rescate, Erebus amenaza con borrar los archivos de la víctima dentro de las 96 horas siguientes a menos que se pague el rescate, que es 0,085 Bitcoin (216 dólares, a 15 de junio de 2017). Esta versión (RANSOM_EREBUS.TOR) también elimina las copias instantáneas para evitar que las víctimas recuperen sus archivos.

Fuente: cso.computerworld.es

Artículos Relacionados

DEJA UN COMENTARIO:

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.