Erebus Linux Ransomware: El impacto en los servidores y las medidas de defensa

El 12 de junio, NAYANA, una compañía de web hosting con sede en Corea del Sur, recientemente se convirtió en una de las víctimas de alto perfil de ransomware después de que 153 de sus servidores Linux fueron infectados con una variante del ransomware Erebus (que detectó Trend Micro como RANSOM_ELFEREBUS.A). El ataque de ransomware afectó sitios web, bases de datos y archivos de multimedia de por lo menos 3,400 negocios que empleaban los servicios de NAYANA.

En la última noticia que publicó el sitio web de la compañía, parece que los cibercriminales forzaron de manera exitosa a NAYANA para pagar el rescate; hicieron el primero de tres pagos que tienen contemplados para obtener todas las claves de acceso necesarias que descifrarán los archivos infectados.  No obstante, NAYANA todavía no recibe la primera llave para desencriptar archivos.

Erebus evolucionó de utilizar exploit kits  a Control de Cuentas de Usuario (UAC)

El ransomware Erebus (RANSOM_EREBUS.A) surgió por primera vez en septiembre de 2016, se distribuyó por medio de malvertisements (publicidad maliciosa) que dirigian a las víctimas al exploit kits Rig, el cual infecta el sistema de la victima con el ransomware.  Esta variante del Erebus apunta a 423 tipos de archivos, los codifica con un algoritmo de encriptación RSA-2048, y les añade la extensión .ecrypt. En Corea del Sur se observó que esta versión de Erebus usaba sitios web vulnerables como sus servidores de comando y control (C&C).

Para febrero de 2017, se descubrió que Erebus evolucionó y cambió sus tácticas, al usar una técnica de desviaciones del Control de la Cuenta de Usuario (UAC), una característica de Windows que ayuda a prevenir cambios no autorizados en el sistema, lo que permite ejecutar el ransomware con privilegios superiores. En su nota de rescate, Erebus amenaza con borrar los archivos de la víctima dentro de las 96 horas siguientes a menos de que se pague el monto determinado, que asciende a 0.085 Bitcoin (USD$216 información del 15 de junio de 2017). Esta versión (RANSOM_EREBUS.TOR) también borra las copias de respaldo para evitar que las víctimas recuperen sus archivos.

El programa Erebus ahora puede infectar servidores.

La variante que infectó los servidores de NAYANA fue el ransomware Erebus el cual fue portado a los sistemas Linux. El análisis en curso de Trend Micro indica que esta versión usa un algoritmo RSA para encriptar las claves AES; los archivos que infecta se encriptan con claves AES únicas. Sus mecanismos persistentes incluyen añadir un servicio falso de Bluetooth para asegurar que el ransomware se ejecute aún después de reiniciar el sistema o el servidor. También emplea el UNIX cron, una utilidad de Unix para sistemas operativos como Linux que agenda actividades a través de línea de comandos o scripts , para verificar cada hora si el programa está activo. Similar al caso NAYANA, originalmente demandó 10 Bitcoins ($24,689), pero el rescate descendió a 5 BTC ($12,344).

Esta iteración de Erebus apunta a 433 tipos de archivo, algunos incluyen:

  •     Documentos de Office (.pptx, .docx, .xlsx)
  •     Bases de datos (.sql, .mdb, .dbf, .odb)
  •     Archivos (.zip, .rar)
  •     Archivos de correo electrónico (.eml, .msg)
  •     Archivos de desarrolladores de proyectos y relacionados con sitios web (.html, .css, .php, .java)
  •     Archivos multimedia (.avi, .mp4)

Erebus no es el primer malware de encriptación de archivos que toma como objetivo los sistemas de Linux, o incluso sus servidores. Linux.Encoder, Encryptor RaaS, una versión de KillDisk, Rex, Fairware, y KimcilWare son capaces de apuntar a máquinas que corran en Linux. De hecho, el ransomware de Linux surgió a principios de 2014, y fueron consecuencias derivadas de los proyectos de código abierto que supuestamente se diseñaron para propósitos educativos. SAMSAM, Petya y Crysis son solo algunas de las familias de ransomware que se conocen por su objetivo de atacar a un servidor e infringir sus mecanismos de seguridad.

Mientras que el ransomware de Linux no está tan desarrollado o maduro como su contraparte de Windows, puede representar un impacto adverso significativo a los usuarios y especialmente a las empresas. Al ejemplificar el caso NAYANA, Linux es un sistema operativo cada vez más popular y un elemento ubicuo en los procesos de negocio de las organizaciones a través de varias industrias, desde servidores y bases de datos hasta desarrollo de la web y dispositivos móviles. Por ejemplo, los centros de datos y los proveedores de servicios de hosteo y almacenamiento comúnmente utilizan dispositivos con Linux.

Buenas prácticas para proteger los sistemas y servidores Linux.

El impacto de un ransomware como Erebus para las operaciones de las organizaciones, la reputación y los resultados destacan la importancia de proteger los servidores y los sistemas que alimentan los procesos de negocios de la empresa.   Adicionalmente, el efecto se multiplica si el ransomware se encarga de infectar no solo los endpoints sino también los servidores y las redes.  Les compartimos algunas buenas prácticas que los administradores de sistemas y TI, así como también los profesionales en seguridad informática pueden adoptar para fortalecer la postura de seguridad de sus servidores y sistemas:

  •     Mantenga actualizado el sistema y el servidor. Imponga una fuerte política de administración de seguridad para garantizar que el sistema y el servidor tienen los últimos parches, fixes y Kernel recomendados.
  •     Evite o reduzca agregar repositorios y/o paquetes de desconocidos y/o de terceros. Esto limita la vulnerabilidad que los atacantes pueden usar como puntos de entrada al servidor o al sistema. Desinstale o deshabilite del servidor componentes o servicios innecesarios, esto reducirá riesgos.
  •     Aplique el principio de privilegios mínimos. La separación de privilegios de Linux provee una forma de restringir las modificaciones que un programa puede hacerle al sistema. Restringir los permisos y privilegios ayudará a mitigar la exposición y el daño adicional, así como a prevenir el uso no autorizado. Los administradores de sistemas pueden considerar el uso de extensiones que implementen políticas obligatorias que administren el alcance de acceso que un programa puede tener a un archivo de sistema o a un recurso de red.
  •     Monitoree y valide de forma proactiva el tráfico de su red. Proteger la red contra amenazas es una obligación para cualquier empresa. Implemente sistemas para la detección y prevención de intrusiones, así como firewalls que ayuden a identificar, filtrar y bloquear el tráfico que puedan indicar una infección de software malintencionado. Mantenga bitácoras de acceso para proveer información forense que pueda ayudar a los administradores de sistemas y TI a detectar intentos de intrusión y ataques reales.
  •     Respalde sus archivos. Como una contra medida efectiva para evitar el impacto y la táctica de los efectos del ransomware.
  •   Mantenga el respaldo de sus archivos almacenados en el sistema o servidor con al menos tres copias en dos formatos distintos, y uno de ellos de forma remota .
  •     Aplique segmentación de redes y categorización de información. La segmentación de redes evita que se propague la infección, mientras que la categorización de información mitiga el daño derivado del ataque.

Soluciones Trend Micro

Trend Micro™ Deep Security™ detiene los efectos del ransomware que ponen en peligro los servidores y las cargas de trabajo ya sean físicas, virtuales, en la nube o en contenedores.  Deep Security™ protege contra las amenazas en las redes con prevención de intrusión (IPS) y host firewall, blindando servidores vulnerables de ataques con parches virtuales hasta que el parche del programa se aplique. Deep Security™ mantiene alejado de los servidores con sofisticados análisis de comportamiento y anti-malware, al código malicioso incluido el ransomware,lo que asegura que las acciones maliciosas sean detenidas de forma inmediata. Deep Security™ cuenta con un sistema de seguridad, que incluye un control de aplicaciones para restringir servidores, y monitoreo de la integridad para detectar indicadores potenciales de peligro (IOCs), incluyendo el ransomware.


Posted

in

,

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.