EREBUS ransomware ataca y pide rescate a empresa de Corea del Sur Te sorprenderá la cifra pactada

Parece que los desarrolladores de malware están enfocando sus esfuerzos cada vez más a atacar los sistemas operativos que normalmente hemos considerado como “seguros” como es el caso de Linux y OS.

En esta ocasión, han liberado una peligrosa versión de RANSOMWARE diseñado para Linux denominado EREBUS y que ya puso en problemas a la gran compañía Nayana del Corea del Sur al encontrarse con la terrible noticia de que sus datos habían quedado cifrados debido a la infección por parte de este código malicioso. El reporte se generó el día 10 de Junio y se estima que el ataque ha alcanzado ya a más de 153 servidores bajo Linux y se esparció a más de 3,400 sitios web relacionados con la empresa.

 Las empresas que operan redes bajo sistemas operativos Linux, tendrán que incrementar sus políticas de seguridad a favor de minimizar los efectos de nuevos ataques que han elegido esta plataforma como objetivo.

Los beneficios económicos a favor de los delincuentes creadores de malware, habían provenido en su mayoría por parte de empresas con sistemas bajo Windows, explotando por lo general vulnerabilidades en el sistema operativo, pero ahora los objetivos de ataque se están diversificando y les está resultando bastante redituable. Han estado desarrollando nuevas técnicas que ahora comienzan a surtir efecto explotando fuentes de ganancias ilícitas bajo el estilo ransomware provenientes de un nicho poco atacado.

 

HABLANDO RESCATES

Las sumas por rescate de datos cifrados, han incrementado considerablemente, pero para la empresa Nayana, la suma es desorbitante, los delincuentes solicitaron inicialmente la suma de 550 en Bitcoins, lo que equivale en dólares estadounidenses a una suma de $1.62 millones según el cambio actual del valor de Bitcoin. Algo que sobresale del promedio solicitado hasta el momento para el rescate de archivos cifrados.

En un comunicado posterior a la infección, la empresa dio a conocer una negociación que llevó a cabo con los hackers, ofreciendo la suma 397 Bitcoins por el rescate de sus archivos, lo que siguió siendo una cifra bastante elevada.

El acuerdo parece haber sido aceptado por la agrupacíon de delincuentes y al pasado 18 de Junio, la empresa de Corea del Sur ya había llevado a cabo el segundo de los tres pagos pactados y el proceso de recuperación de la información ya se encuentra en marcha, aunque con bastantes dudas de que se realice en su totalidad, ya que hasta el momento, las Bases de Datos de la empresa aún presentan fallos.

Y es que en el pasado ya se ha tenido evidencia de casos, en que los criminales detrás de algún ataque de Ransomware, no han cumplido con sus tratos, así sucedió con un Hospital de Kansas, quien no consiguió recuperar todos sus datos y a cambio recibió una segunda extorsión.

 

TIMELINE

El desarrollo de EREBUS tiene aproximadamente un año, se le detectó por primera vez en Septiembre del 2016, pero resurgió en Febrero del 2017. En las versiones detectadas pueden encontrarse notas multilenguaje y también incluso videos referentes a las indicaciones que las víctimas deben realizar para poder recuperar su información.

Algunas de las notas tienen un formato parecido al siguiente:

Warning!!

Your documents, photos, databases, important files have been encrypted!

If you modify any file, it may cause make you cannot decrypt ! ! !

To decrypt your files please visit the following website:

If the above address will be unable to open or very slow, follow these steps:

  1. Download and install the tor browser.

                            https://www.torproject.org/download/download-easy.html

Por otra parte, cabe resaltar que en el pasado, una versión de EREBUS detectada por analistas el 7 de Febrero y analizada en una página rusa, pedía un rescate muy distinto, aquí un fragmento del .txt de la nota de rescate

3 : Payment you need to buy 0,085 btc (bitcoins) and send them to this address : [redacted]
once you’ve paid, wait a bit. the process can take up to 24 hours for us to check the payment. Then, you will recieve on this same page your private key and a link to the decryption program that will automatically decrypt all your files so you can use them as before. You still have 0.085 bitcoins left to pay”

Como puede notarse, pedían 85 bitcoins, esto nos da una idea de que el objetivo de la versión que afectó a Nayana estaba completamente dirigida a la empresa.

 

ANÁLISIS DE LA INFECCIÓN

No se tiene del todo clara la manera en que la infección por parte de EREBUS tiene inicio, pero los analistas de TrendLabs, han identificado que la página de Nayana opera bajo un kernel de Linux de versión 2.6.24.2, que fue compilado en 2008 y que este kernel presenta algunas fallas que han sido explotadas por parte de los hacker.

Una de las teorías es que pudieron haber explotado la falla conocida como DIRTY COW la que les pudo haber abierto una ranura por donde conseguir el acceso ROOT del sistema Linux. Pero no es un dato confirmado.

Otras vulnerabilidades conocidas que pudieron estar relacionadas con el ataque de EREBUS a Nayana son las vinculadas con Apache 1.3.36 y PHP versión 5.1.4 que son las utilizadas por la página. Y se tiene conocimiento de que incluso en China, se venden herramientas que explotan los inconvenientes de Apache.

El ataque, según los análisis coreanos consta de dos archivos ransomware, cada uno para los entornos de 32 bits y 64 bits. Dentro de los archivos maliciosos se incluye el número de cadenas de EREBUS y la cadena de cifrado relacionada con el.

 

PROCESO DE ENCRIPTADO

Los archivos cifrados por EREBUS tienen un formato como el siguiente:

Encabezado (0x438 bytes)

Archivo original cifrado RSA-2048

Clave AES cifrada RSA-2048

Clave RC4 cifrada RSA-2048

Datos encriptados con RC4

Primero se cifra el archivo con RC4 en bloques de 500 kb utilizando claves generadas al azar.

La clave RC4 se codifica bajo el algoritmo AES, esto es almacenado en el archivo, posteriormente se realiza un nuevo cifrado de esta clave AES, en esta ocasión con el algoritmo RSA-2048 y también se almacena en el archivo.

La clave RSA-2048 es compartida. Estas claves RSA-2048 se generan localmente mientras que las claves privadas se cifran utilizando AES y otra clave generada al azar.

Hasta el momento se ha determinado en el análisis que no es posible descifrar sin tener las claves RSA.

Se detectó que 433 tipos de archivos pueden ser localizados y encriptados por EREBUS, pero sus objetivos principales son los datos que se encuentran en los servidores web.

Los archivos que EREBUS logra cifrar son los siguientes:

tar, gz, tgz, taz, bz, tbz, bz2, lz, lzma, lz4, contact, dbx, doc, docx, jnt, jpg, mapimail, msg, oab, ods, pdf, pps, ppsm, ppt, pptm, prf, pst, rar, rtf, txt, wab, xls, xlsx, xml, zip, 1cd, 3ds, 3g2, 3gp, 7z, 7zip, accdb, aoi, asf, asp, aspx, asx, avi, bak, cer, cfg, class, config, css, csv, db, dds, dwg, dxf, flf, flv, html, idx, js, key, kwm, laccdb, ldf, lit, m3u, mbx, md, mdf, mid, mlb, mov, mp3, mp4, mpg, obj, odt, pages, php, psd, pwm, rm, safe, sav, save, sql, srt, swf, thm, vob, wav, wma, wmv, xlsb, 3dm, aac, ai, arw, c, cdr, cls, cpi, cpp, cs, db3, docm, dot, dotm, dotx, drw, dxb, eps, fla, flac, fxg, java, m, m4v, max, mdb, pcd, pct, pl, potm, potx, ppam, ppsm, ppsx, pptm, ps, pspimage, r3d, rw2, sldm, sldx, svg, tga, wps, xla, xlam, xlm, xlr, xlsm, xlt, xltm, xltx, xlw, act, adp, al, bkp, blend, cdf, cdx, cgm, cr2, crt, dac, dbf, dcr, ddd, design, dtd, fdb, fff, fpx, h, iif, indd, jpeg, mos, nd, nsd, nsf, nsg, nsh, odc, odp, oil, pas, pat, pef, pfx, ptx, qbb, qbm, sas7bdat, say, st4, st6, stc, sxc, sxw, tlg, wad, xlk, aiff, bin, bmp, cmt, dat, dit, edb, flvv, gif, groups, hdd, hpp, log, m2ts, m4p, mkv, mpeg, ndf, nvram, ogg, ost, pab, pdb, pif, png, qed, qcow, qcow2, rvt, st7, stm, vbox, vdi, vhd, vhdx, vmdk, vmsd, vmx, vmxf, 3fr, 3pr, ab4, accde, accdr, accdt, ach, acr, adb, ads, agdl, ait, apj, asm, awg, back, backup, backupdb, bank, bay, bdb, bgt, bik, bpw, cdr3, cdr4, cdr5, cdr6, cdrw, ce1, ce2, cib, craw, crw, csh, csl, db_journal, dc2, dcs, ddoc, ddrw, der, des, dgc, djvu, dng, drf, dxg, eml, erbsql, erf, exf, ffd, fh, fhd, gray, grey, gry, hbk, ibank, ibd, ibz, iiq, incpas, jpe, kc2, kdbx, kdc, kpdx, lua, mdc, mef, mfw, mmw, mny, moneywell, mrw, myd, ndd, nef, nk2, nop, nrw, ns2, ns3, ns4, nwb, nx2, nxl, nyf, odb, odf, odg, odm, orf, otg, oth, otp, ots, ott, p12, p7b, p7c, pdd, pem, plus_muhd, plc, pot, pptx, psafe3, py, qba, qbr, qbw, qbx, qby, raf, rat, raw, rdb, rwl, rwz, s3db, sd0, sda, sdf, sqlite, sqlite3, sqlitedb, sr2, srf, srw, st5, st8, std, sti, stw, stx, sxd, sxg, sxi, sxm, tex, wallet, wb2, wpd, x11, x3f, xis, ycbcra, yuv, mab, json, ini, sdb, sqlite-shm, sqlite-wal, msf, jar, cdb, srb, abd, qtb, cfn, info, info_, flb, def, atb, tbn, tbb, tlx, pml, pmo, pnx, pnc, pmi, pmm, lck, pm!, pmr, usr, pnd, pmj, pm, lock, srs, pbf, omg, wmf, sh, war, ascx, tif

 

CONCLUSION

Como puede notarse en el análisis de infección que logró alcanzar a Nayana, son las vulnerabilidades siempre las utilizadas para alcanzar sus objetivos, por lo que nunca está de más analizar a detalle el sistema operativo que se está utilizando y dedicar algunas horas a investigar sus puntos débiles para parcharlos o crear escudos detrás de ellos, que minimicen las posibilidades de un ataque. Una falla siempre es una puerta abierta, y no se sabe en que momento alguien está al acecho esperando el momento propicio para entrar, mucho menos cuando se trata de malware.

No resultaría extraño ver infecciones por este ransomware en el futuro alcanzando nuevas compañías. Los delincuentes detrás de la creación y evolución de este malware han encontrado una mina de oro y no se detendrán mientras el ataque resulte efectivo, por lo que seguramente seguirán estudiando nuevos blancos susceptibles a un ataque.

 

INDICADORES DE COMPROMISO

Servidor de control

216.126.224.128/24

Servidores TOR

7fv4vg4n26cxleel.onion.to

7fv4vg4n26cxleel.onion.nu

7fv4vg4n26cxleel.hiddenservice.net

7fv4vg4n26cxleel.gbe0.top

qzjordhlw5mqhcn7.onion.to

qzjordhlw5mqhcn7.onion.nu

qzjordhlw5mqhcn7.hiddenservice.net

qzjordhlw5mqhcn7.gbe0.top

7fv4vg4n26cxleel.onion

qzjordhlw5mqhcn7.onion

 

Referencias

http://blog.trendmicro.com/trendlabs-security-intelligence/erebus-resurfaces-as-linux-ransomware/

http://asec.ahnlab.com/1068

Share with your friends










Submit
Tags: