MMGP logo
Присоединяйтесь к нашему инвестиционному форуму, на котором уже 649,476 пользователей. Чтобы получить доступ ко многим закрытым разделам и начать общение - зарегистрируйтесь прямо сейчас.
Все новости о платежных криптовалютах, таких как BitCoin, Ethereum, LiteCoin, Ripple и прочих подобных p2p валютах
Первый пост Опции темы
Старый 21.06.2017, 13:14
#1
Мастер
 
Регистрация: 28.12.2015
Сообщений: 1,592
Благодарностей: 502
Южнокорейская хостинг-компания заплатила $1 млн разработчикам Linux-версии криптовымогателя Erebus

Провайдер хостинг-услуг из Южной Кореи на днях выплатил разработчикам программы криптовымогателя около $1 млн в криптовалюте. Почему так много? Дело в том, что ransomware заразило 153 сервера, работающих на Linux. На этих серверах размещается 3400 сайтов клиентов компании.

Изначально разработчики зловреда хотели получить около $4,4 млн. Компания заявила, что это слишком много, и она не в состоянии выплатить такую сумму. После этого киберпреступники согласились умерить аппетиты, удовольствовавшись «всего» $1 млн. Сейчас сотрудники компании занимаются восстановлением данных. Это не такой и быстрый процесс, поэтому клиентам придется подождать, пока все их сайты и сервисы снова начнут работать.

«Это сложная задача, но я делаю все, что от меня зависит, и я сделаю все, чтобы восстановить работоспособность серверов», — заявил представитель компании.

Стоит отметить, что основная проблема с этим зловредным ПО в том, что работает он с Linux. Ramsomware получило название Erebus (ранее был вариант этого зловреда, атакующий Windows-системы). Каким образом вирус проник на сервера компании, пока неясно. Техническая поддержка разбирается, стараясь понять, что все-таки произошло.

Сторонние эксперты, которые также занялись изучением ситуации, утверждают, что проблема может быть в устаревшем программном обеспечении, которое использовалось хостером. Например, сайт Nayana работал на сервере с Linux с версией ядра 2.6.24.2 (2008 год). В этой версии много уязвимостей, включая Dirty Cow, которая позволяет злоумышленникам получать рут-доступ к системе. Кроме устаревшей версии ядра, компания работала с Apache версии 1.3.36 и PHP версии 5.1.4, все они были выпущены еще в 2006 году. Излишним будет говорить, что злоумышленники за прошедшие десять лет изучили это ПО вдоль и поперек, научившись взламывать все, что им нужно.

Erebus впервые появился в сентябре 2016 года (вернее, впервые был обнаружен). Затем вышла его обновленная версия, это случилось в феврале 2017 года. Тогда разработчики «научили» свой продукт обходить User Account Control в Windows.



Интересно, что сейчас Linux-версия Erebus действует, в основном, в Южной Корее. Может быть, потому, что не только Nayana использует устаревшее ПО, но и другие хостинг-компании в этом регионе делают то же.
Header (0x438 bytes)
RSA-2048-encrypted original filename
RSA-2048-encrypted AES key
RSA-2048-encrypted RC4 key
RC4-encrypted data
Сделать это можно лишь при помощи ключа, который нужно купить у злоумышленников. Дело в том, что сначала файлы шифруются посредством RC4 поблочно, с размером блока в 500 КБ. Ключи для каждого блока генерируются рандомно. Затем кодируется уже ключ RC4, это делается при помощи алгоритма AES, сохраняемого в файле. И уже этот ключ шифруется алгоритмом RSA-2048, который также сохраняется в файле. Эти ключи генерируются локально и они доступны. Но это открытые ключи, а вот закрытые шифруются при помощи AES и другого рандомно генерируемого ключа.

Версия Erebus, о которой идет речь, шифрует 433 различных типа файлов. Как и говорилось выше, получить приватный ключ каким-либо иным методом, кроме как выкупить его у злоумышленников нельзя. В этом убедились сразу несколько специалистов, которые проводили анализ атаки.

Сейчас хостер тесно сотрудничает с правоохранительными органами Южной Кореи для того, чтобы попытаться обнаружить злоумышленников. Но, конечно, кроме поисков компании стоит сначала восстановить работоспособность серверов и данные клиентов, затем обновить устаревшее программное обеспечение, и только затем направить все усилия на работу по поиску злоумышленников.

Хостер из Южной Кореи — не единственная организация, кому пришлось заплатить злоумышленникам. В прошлом году ключ к расшифровке файлов купила школа из США, на сервера которой была осуществлена успешная атака. Правда, в этом случае речь шла не о миллионе долларов США, а о $8500.

А в ноябре прошлого года из-за криптовымогателя все пассажиры узкоколейной железной дороги Сан-Франциско получили возможность ездить бесплатно. Дело в том, что криптовымогатель зашифровал все платежные терминалы транспортной компании San Francisco Municipal Transportation Agency (SFMTA).

В прошлом году заплатила разработчикам ransomware и больница, сервера которой тоже были заражены зловредным ПО. На данный момент рекордсменом по выплатам, насколько можно судить, является компания Nayana, о которой шла речь выше. Возможно, кто-то платил и больше, но об этих случаях ничего неизвестно, скорее всего, жертвы просто хотят остаться неизвестными.

источник - geektimes.ru
BigBoi вне форума
Старый 21.06.2017, 14:43
#2
Мастер
 
Регистрация: 19.01.2016
Сообщений: 2,939
Благодарностей: 1,197
Цитата:
Сообщение от BigBoi Посмотреть сообщение
Дело в том, что ransomware заразило 153 сервера, работающих на Linux. На этих серверах размещается 3400 сайтов клиентов компании.
Как говориться, кто на что горазд) Но эти хакеры с их знаниями могли бы более честный и безопасный вид заработка себе найти)
Prosvetlenniy вне форума
Сказали спасибо:
OrelReshka (21.06.2017)
Старый 22.06.2017, 13:00
#3
Мастер
 
Регистрация: 28.12.2015
Сообщений: 1,592
Благодарностей: 502
Цитата:
Сообщение от Prosvetlenniy Посмотреть сообщение
Как говориться, кто на что горазд) Но эти хакеры с их знаниями могли бы более честный и безопасный вид заработка себе найти)
адреналин видимо не тот)
BigBoi вне форума
Сказали спасибо:
Prosvetlenniy (22.06.2017)
Старый 22.06.2017, 18:26
#4
Мастер
 
Регистрация: 19.01.2016
Сообщений: 2,939
Благодарностей: 1,197
Цитата:
Сообщение от BigBoi Посмотреть сообщение
Дело в том, что ransomware заразило 153 сервера, работающих на Linux. На этих серверах размещается 3400 сайтов клиентов компании.
Как говориться, кто на что горазд) Но эти хакеры с их знаниями могли бы более честный и безопасный вид заработка себе найти)
Цитата:
Сообщение от BigBoi Посмотреть сообщение
адреналин видимо не тот)
Видимо, это как раз тот случай, когда "без проблем, как без пряника"
Prosvetlenniy вне форума
Сказали спасибо:
BigBoi (22.06.2017)
Старый 23.06.2017, 12:22
#5
Мастер
 
Регистрация: 28.12.2015
Сообщений: 1,592
Благодарностей: 502
Цитата:
Сообщение от Prosvetlenniy Посмотреть сообщение
Видимо, это как раз тот случай, когда "без проблем, как без пряника"
Некоторым нравится такой стиль жизни, ни чего не поделаешь)
BigBoi вне форума
Войдите, чтобы оставить комментарий.
Быстрый переход