10 czerwca serwery Linux południowokoreańskiej firmy hostingowej NAYANA zostały zaszyfrowane przez ransomware Erebus. Atak dotknął 153 serwery, na których znajdowały się dane 3400 klientów.
Erebus został rozpoznany już we wrześniu 2016, ale wówczas znana była jedynie jego wersja na systemy Windows.
Oprogramowanie w wersji linuxowej wgrywa pliki:
- {5f58d6f0-bb9c-46e2-a4da-8ebc746f24a5}//log.log
- \var\tmp\.{Hash}.conf
Następnie łączy się z serwerem C&C, dodaje zadanie do crona (/etc/cron.hourly/96anacron) i podszywa się pod usługę bluetooth (dzięki czemu jest automatycznie wywoływany przy każdym uruchomieniu serwera).
Następnie szyfruje pliki o popularnych rozszerzeniach (np. .doc, .xls, .jpg, .ppt, .ai, .zip) algorytmem AES, zamienia nazwę zaszyfrowanych plików na {losowa_nazwa}.ecrypt i umieszcza pliki z instrukcjami postępowania.
CERT PSE przypomina o stosowaniu podstawowych zasad bezpieczeństwa dotyczących systemów Linux, w szczególności:
- ograniczenia dostępu użytkowników do zasobów do niezbędnego minimum;
- ograniczenia zainstalowanego oprogramowania do niezbędnego minimum (tzw. utwardzanie);
- wykonywania regularnych kopii zapasowych i bezpieczeństwa;
- aktualizowania oprogramowania;
- monitorowania ruchu sieciowego i aktywności aplikacji w poszukiwaniu anomalii.
Szczegółowe informacje: https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ransom_elferebus.a