Erebus Resurge como Ransomware para Linux

El pasado 10 de junio, la compañía de Corea del Sur de hosteo web NAYANA fue blanco del ransomware Erebus (identificado por Trend Micro como RANSOM_ELFEREBUS.A), infectando a 153 servidores Linux y más de 3,400 sitios web empresariales que la compañía administra.

En un aviso que se publicó en el sitio de NAYANA el 12 de junio, la compañía informó que los atacantes exigían un rescate sin precedentes de 550 Bitcoins (BTC), o el equivalente a $1.62 millones de dólares, para desencriptar los archivos afectados de todos sus servidores. NAYANA lanzó un nuevo aviso el 19 de junio de 2017 afirmando que logró negociar un pago de 367.6 BTC (cerca de $1.01 millones de dólares al 19 de junio), mismo que se pagaría en plazos. En una declaración difundida a través de su sitio el 17 de junio, NAYANA señaló que ya se había hecho el segundo de tres pagos. Al día siguiente, el 18 de junio, la compañía comenzó el proceso de recuperación de los servidores por lotes. Algunos de los servidores del segundo lote estaban teniendo errores en sus bases de datos. También se prevé que se realice un tercer pago después de que se hayan recuperado con éxito los lotes uno y dos.

Si bien no se compara en términos de la cantidad exigida en el rescate, esto nos recuerda a lo sucedido con el Kansas Hospital, que no pudo tener acceso a los archivos cifrados aun después de haber pagado el rescate, pero sí fue extorsionado por segunda vez.

A Erebus se le vio por primera vez en septiembre de 2016 dentro de la publicidad maliciosa y resurgió en febrero de 2017, cuando utilizó un método para evadir el User Account Control de Windows. A continuación se presentan algunos de los detalles técnicos más notables que hemos descubierto hasta ahora de la versión Linux de Erebus:

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/06/erebus-ransomware-1.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]

Figura 1: Erebus tiene una nota de rescate en varios idiomas (arriba se muestra la versión en inglés)

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/06/erebus-ransomware-2.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]

Figura 2: Captura de pantalla de un video en el que el atacante muestra cómo desencriptar los archivos afectados

Posible Vector de Entrada

En cuanto a cómo llega este ransomware Linux, sólo podemos inferir que Erebus posiblemente aprovechó una vulnerabilidad o un exploit de Linux. Por ejemplo, basado en la inteligencia de código abierto, el sitio web de NAYANA corre sobre Linux kernel 2.6.24.2, que se compiló en 2008. Las fallas de seguridad como DIRTY COW que puede darle a los atacantes acceso de administrador a los sistemas Linux vulnerables son sólo algunas de las amenazas a las que pudo haber estado expuesto.

Además, el sitio de NAYANA utiliza la versión 1.3.36 de Apache y la versión 5.1.4 de PHP, las cuales fueron liberadas en 2006. Las vulnerabilidades de Apache y los exploits de PHP son bastante conocidas; de hecho, se vendió incluso una herramienta en el mercado negro chino expresamente para explotar Apache Struts. La versión de Apache que NAYANA utiliza como un usuario de nobody(uid=99), lo cual indica que también pudo haberse usado un exploit  local en el ataque.

[image url=”http://blog.trendmicro.com/trendlabs-security-intelligence/files/2017/06/erebus-ransomware-3.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]

Figura 3: Los envíos que hizo Virus total del ransomware Erebus Linux

Cabe mencionar que la cobertura de este ransomware es limitada y, de hecho, se concentra principalmente en Corea del Sur. Si bien esto puede indicar que este ataque de ransomware está dirigido, VirusTotal demostró lo contrario: también se enviaron varias muestras desde Ucrania y Rumania. Estas muestras también indican que fueron enviadas por otros investigadores de seguridad.

Rutina de Encripción

Algunas familias de ransomware son conocidas por combinar los archivos en capas de algoritmos de encripción, como UIWIX, las versiones más recientes de Cerber y DMA Locker. Erebus lleva esto al siguiente nivel: cada archivo encriptado por Erebus tendrá este formato:

[image url=”/wp-content/uploads/2017/06/Captura-de-pantalla-2017-06-23-a-las-3.33.24-p.m..png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”416″ height=”170″]

El archivo es primero combinado con la encripción RC4 en bloques de 500kB con llaves generadas aleatoriamente. La llave RC4 se codifica con el algoritmo de encripción AES, que se almacena en el archivo. Ésta se encripta una vez más usando el algoritmo RSA-2048 que también se almacena en el archivo.

Aunque cada archivo encriptado tiene sus llaves RC4 y AES, comparten la llave pública RSA-2048. Estas llaves RSA-2048 se generan localmente, pero la llave privada se cifra usando la encripción AES y otra llave generada aleatoriamente. El análisis continuo indica que no es posible realizar la desencripción sin contar con las llaves RSA.

Tipos de Archivos Afectados

Los documentos de Office, las bases de datos y los archivos multimedia son los tipos de archivos que son usualmente afectados por el ransomware. Lo mismo sucede con esta versión de Erebus, que encripta 433 tipos de archivos distintos. Sin embargo, el ransomware parece estar codificado principalmente para atacar y encriptar servidores web y los datos almacenados en ellos.

En esta tabla se muestran los directorios y los lugares en el sistema en donde Erebus busca. Considere que var/www/ es donde se almacenan los archivos/datos de los sitios web, mientras que los archivos ibdata se utilizan en MySQL:

[image url=”/wp-content/uploads/2017/06/Captura-de-pantalla-2017-06-23-a-las-3.33.41-p.m..png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”409″ height=”612″]

Figura 4: Tablas de sistema que busca Erebus

Adopte las Mejores Prácticas

A pesar de su participación de mercado, los sistemas operativos Unix y tipo Unix como Linux están listos para que los atacantes lucren con ellos a medida que el ransomware siga diversificándose y madurando en el panorama de las amenazas. ¿Por qué? Son una parte ubicua de la infraestructura que impulsa a muchas empresas; se utilizan en las estaciones de trabajo y servidores, en los framewoks de desarrollo web y de aplicaciones, bases de datos y dispositivos móviles, entre otros.

Y como lo hemos visto en otras familias como WannaCry, SAMSAM, Petya o HDDCryptor, su capacidad de afectar a los servidores y recursos compartidos de las redes amplifica su impacto. Una máquina vulnerable en una red es algunas veces todo lo que se necesita para infectar a los sistemas y los servidores interconectados.

Dado los riesgos para las operaciones, la reputación y las finanzas de las empresas, éstas tienen que ser proactivas en cuanto a mantener amenazas, como el ransomware, a raya. No hay una fórmula mágica para combatir al ransomware como Erebus, es por eso que los administradores de TI/sistemas deben tener una estrategia de defensa efectiva. Las mejores prácticas para mitigar el ransomware incluyen:

Algunos de los mecanismos de seguridad que pueden considerarse incluyen:

  • Filtrado de IP así como sistemas de prevención y detección de intrusiones
  • Extensiones de seguridad en Linux que gestionen y limiten el acceso a los archivos o los recursos del sistemas/redes
  • La segmentación de la red y la categorización de datos para limitar y reducir la infección y el daño a los datos
  • Permitir la separación de privilegios en Linux

Actualizaremos esta publicación cuando haya más información disponible sobre nuestro análisis de este ransomware para Linux.

Soluciones de Trend Micro

Trend MicroDeep Security™ evita que el ransomware comprometa los archivos empresariales y las cargas de trabajo – sin importar si son físicos, virtuales o estén en la nube o en contenedores. Deep Security™ protege contra las amenazas a la red con la prevención de intrusiones (IPS) y host firewalls, blindando a los servidores vulnerables de los ataques con un parche virtual hasta que pueda aplicarse un parche de software. Deep Security™ mantiene al malware, incluyendo al ransomware, fuera de los servidores con anti-malware sofisticado y análisis de comportamientos, lo que asegura que se detengan de inmediato las acciones maliciosas. Deep Security™ también tiene seguridad para sistemas, incluyendo el control de aplicaciones para cerrar los servidores, y el monitoreo de la integridad que puede detectar indicadores potenciales de compromisos (IOC), incluyendo el ransomware.

Trend Micro Deep Discovery Inspector™ protege a los clientes de esta amenaza con esta regla DDI:

  • DDI Rule ID 2434 – “EREBUS – Ransomware – HTTP (Request)”

Los cientes de TippingPoint están protegidos contra esta amenaza mediante este filtro ThreatDV:

  • ThreatDV: 28725: HTTP: Erebus Ransomware Check-in

Trend Micro Deep Security™ protege a los clientes de esta amenaza con la regla DPI:

  • 1008457 – Ransomware Erebus

Indicadores de Compromiso:

SHA256 detectado como RANSOM_ELFEREBUS.A:

  • 0b7996bca486575be15e68dba7cbd802b1e5f90436ba23f802da66292c8a055f
  • d889734783273b7158deeae6cf804a6be99c3a5353d94225a4dbe92caf3a3d48

Posted

in

,

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.