Host Web concordou em pagar US$ 1 milhão à hacker do ransomware

194

Esse pagamento antecipado por conta de um host mal protegido é algo muito inspirador para novos ataques do ransomware.

Recentemente, um serviço de hospedagem de web concordou em pagar US$ 1 milhão em uma operação ransomware que, segundo a empresa, codificou dados armazenados em 153 servidores Linux e 3.400 sites de clientes.

O anfitrião da Web sul-coreano, Nayana, disse em uma publicação no blog que as demandas de resgate inicial era de 5 bilhões won de Bitcoins, cerca de US$ 4,4 milhões. Após diversas negociações, a empresa conseguiu a redução para 1,2 bilhões de won, pouco mais de US$ 1 milhão. 

Uma atualização publicada no sábado disse que os engenheiros da Nayana estavam no processo de recuperação dos dados. O post advertiu que a recuperação era difícil e levaria tempo.

"É muito frustrante e difícil, mas estou realmente fazendo o meu melhor, e farei o meu melhor para garantir que todos os servidores sejam normalizados", escreveu um representante, de acordo com uma tradução do Google.

O ransomware conhecido como Erebus pode ter resultado em um pagamento recorde. Há suspeitas que o Erebus foi modificado recentemente para que ataque os sistemas Linux e, pior ainda, para atingir os servidores da Web.

Ainda é um mistério como o vírus se instalou nos servidores Nayana, mas parece que os invasores exploraram uma vulnerabilidade de um software instalado no serviço de hospedagem web. 

Em uma publicação publicada na segunda-feira, pesquisadores da empresa de segurança Trend Micro escreveram:

"Quanto à forma como este ransomware Linux chegou, só podemos inferir que o Erebus pode possivelmente alavancar vulnerabilidades ou uma exploração local do Linux. Por exemplo, com base em inteligência de código aberto, o site da NAYANA é executado no kernel do Linux 2.6.24.2, que foi compilado em 2008. Falhas de segurança como DIRTY COW que podem fornecer acesso raiz de invasores a sistemas Linux vulneráveis ​​são apenas algumas das ameaças.

Além disso, o site da NAYANA usa o Apache 1.3.36 e o ​​PHP 5.1.4, ambos lançados em 2006. As vulnerabilidades do Apache e as explorações do PHP são bem conhecidas. Na verdade, havia até uma ferramenta vendida no underground chinês, expressamente para explorar o Apache Struts. A versão do Apache NAYANA utilizada é executada como um usuário de ninguém (uid = 99) , o que indica que uma exploração local também pode ter sido usada no ataque."

FONTES

www.000webhost.com