HPE iLO Ransomware
Os pesquisadores de segurança do PC começaram a prestar atenção no HPE iLO Ransomware, um Trojan ransomware de criptografia, após um ataque em 25 de abril de 2018. Os administradores de servidores relataram um ataque envolvendo o HPE iLO Ransomware, que chamou a atenção dos pesquisadores de malware devido à maneira como ele compromete os servidores que utilizam os serviços do iLO (Integrated Lights-Out). Essa funcionalidade, que permite controlar remota e eficientemente um servidor, permitiu que os trapaceiros a explorassem para realizar ataques de ransomware.
Índice
Como o HPE iLO Ransomware Executa o Seu Ataque
As pessoas associadas ao HPE iLO Ransomware procurarão na Web por servidores que empreguem funções integradas do HPE iLO e usem ataques de força bruta para obter as credenciais de login. Alguns pesquisadores de segurança do PC especularam que o firmware do iLO combinado com medidas de segurança fracas permitiu que os trapaceiros tivessem acesso a servidores acessíveis on-line. Uma vez que o acesso foi obtido por adivinhar as credenciais de login para o servidor visado, os golpistas ganharam acesso administrativo a qualquer dispositivo de memória conectado. O HPE iLO Ransomware foi então usado para bloquear o acesso às unidades nos servidores infectados. Os invasores fizeram com que os servidores afetados exibissem uma "Faixa de login de segurança" no cartão iLO afetado, que enviava a seguinte mensagem às vítimas do ataque:
'Aviso de segurança
Ei, seu disco rígido foi criptografado usando a criptografia assimétrica RSA 2048. Para descriptografar arquivos, você precisa obter a chave privada.
Isso significa que somos os únicos no mundo a recuperar arquivos para você. Nem Deus pode te ajudar. É tudo matemática e criptografia.
Se você quiser seus arquivos de volta, por favor envie um email para 15fd9ngtetwjtdc@yopmail.com.
Nós não sabemos quem você é, Tudo o que precisamos é de algum dinheiro e estamos fazendo isso por uma boa causa.
Não entre em pânico se não lhe respondermos durante 24 horas. Significa que não recebemos a carta e nos escreva novamente.
Você pode usar um dos trocadores de bitcoins para transferir bitcoins.
h[tt]ps://localbitcoins[.]com
h[tt]ps://www.kraken[.]com
Por favor, use o idioma inglês em suas cartas. Se você não fala inglês, então use h[tt]ps://translate.google[.]com para traduzir a sua carta para o inglês.
Processo:
1) Pague algum BTC ao nosso endereço de carteira (negociações quase impossíveis a menos que você seja cidadão russo)
2) Nós lhe enviaremos chave privada e instruções para descriptografar seu disco rígido
3) Boom! Você recuperou seus arquivos.'
Não há nada que diferencie as táticas usadas pelo HPE iLO Ransomware para realizar os seus ataques dos ataques de ransomware de criptografia usados contra indivíduos, exceto talvez pelo perfil dos alvos
O Pedido de Resgate do HPE iLO Ransomware
O HPE iLO Ransomware forçará os servidores a reinicializar durante o ataque, antes de exibir a nota de resgate. A tentativa de inicializar os servidores afetados resulta nos erros "Nenhum dispositivo de inicialização encontrado", o que significa que os arquivos da vítima serão bloqueados até que o resgate seja pago. Devido à extensão do dano, os vigaristas exigem um grande resgate, 2 Bitcoins, que é quase 20.000 dólares à taxa de câmbio atual. É provável que as pessoas associadas aos ataques do HPE iLO Ransomware estejam sediadas na Rússia, já que a mensagem alega que os russos podem negociar o preço do resgate, e os vigaristas baseados nesse país mostraram um histórico de evitar atacar outros cidadãos russos.
Lidando com o HPE iLO Ransomware
É claro que o HPE iLO Ransomware não se destina a ser um problema para os usuários comuns de computador. Os ataques do HPE iLO Ransomware parecem ter sido projetados especificamente para servidores e administradores de servidores, para aproveitar a vulnerabilidade do HPE iLO. Como a maioria dos administradores de servidores respeitáveis terão imagens de backup dos seus servidores com proteções de segurança adequadas, a maioria dos ataques do HPE iLO Ransomware foi frustrada com a limpeza dos servidores afetados e a restauração dos dados de um backup. Embora seja um processo demorado, essa é a melhor maneira de lidar com essas ameaças: ter backups de arquivos que devem ser usados para reparar os dados.
