Ransomware Destrói Empresa Sul-Coreana de Hospedagem que Acaba Pagando Resgate de US $1 milhão
Você já se perguntou o quão prejudicial e caro um ataque de ransomware pode ser exatamente? Aqui está um exemplo que deve lhe dar uma idéia.
Em 10 de junho, um provedor coreano de hospedagem chamado Nayana foi atingido por um malware de criptografia de arquivos conhecido como Erebus. 153 servidores Linux foram afetados, o que representa mais da metade de toda a infraestrutura da empresa. Milhares de sites caíram e, de acordo com a edição coreana do ZDNet, a lista de vítimas inclui a Associação de Prevenção à Aids da Coréia e o Departamento Universitário Nacional. Obviamente, inúmeras empresas de pequeno e médio porte também ficaram sem presença na Internet e, como Nayana ainda está pagando o resgate e trazendo tudo de volta ao normal, a quantidade de dinheiro perdido ainda está aumentando.
Mas Por Que a Coisa Toda está Demorando Tanto?
No início, os operadores do Erebus exigiram um resgate de 10 bitcoins por servidor, o que eleva o total a 5 bilhões de Won coreano ou US $4,4 milhões. Mais tarde, os bandidos reduziram o preço para cerca de 908 bitcoins, 2,7 bilhões de Won, ou US $2,4 milhões. Depois de mais discussões, no entanto, eles concordaram em liberar as chaves de descriptografia para pouco menos de 400 bitcoins, o que, no momento da redação deste documento, é de cerca de 1,3 bilhão de Won ou US $ 1 milhão. Isso, lembre-se, não leva em consideração o terrível golpe que o ataque terá sobre a credibilidade da empresa e os custos financeiros associados aos inevitáveis processos judiciais. O pagamento deve ser feito em três parcelas (duas das quais já foram processadas) e os servidores devem ser descriptografados em três lotes separados. Não é um processo fácil.
Depois que os criminosos enviam as chaves de descriptografia, os arquivos afetados precisam ser movidos para um servidor Windows, onde podem ser descriptografados. Se a recuperação for bem-sucedida, Nayana precisa garantir que tudo esteja bem e configurado corretamente e, em seguida, coloque os dados novamente em uma máquina Linux que, esperamos, seja mais segura do que as que foram invadidas. Nem tudo está indo bem, e em um aviso de hoje, Nayana disse que todo o processo provavelmente levará mais tempo do que o inicialmente esperado.
Infelizmente, a empresa de hospedagem sul-coreana tem poucas outras opções além de seguir as regras dos bandidos. Ontem, pesquisadores da Trend Micro descreveram o mecanismo que criptografou os dados nos servidores de Nayana. Primeiro, ele criou chaves RC4 e AES individuais para cada arquivo. Os dados foram codificados com a chave RC4 que, por sua vez, foi criptografada pela chave AES. Em seguida, uma chave pública RSA-2048 foi usada para criptografar a chave AES. O mecanismo de criptografia em camadas significa que os pesquisadores não conseguem recuperar os dados sem a chave privada RSA, que é protegida de perto pelos operadores de ransomware. E agora a pergunta de um milhão de dólares (literalmente).
Podia ter sido Evitado?
Aqueles de vocês que acompanham as notícias da infosec podem se lembrar de que Erebus é o nome de uma variedade de ransomware do Windows que apareceu pela primeira vez em setembro de 2016. Ninguém pode dizer com certeza se as famílias Linux e Windows foram criadas pelas mesmas pessoas, mas os pesquisadores da Trend Micro calculam que, pelo menos no que diz respeito ao vetor de infecção, os dois são diferentes. Quando saiu, a versão do Windows foi distribuída principalmente por meio de publicidade maliciosa, enquanto a linhagem Linux provavelmente se infiltrou no sistema de Nayana após explorar vulnerabilidades em softwares antigos. Após algumas investigações, os pesquisadores descobriram que o kernel Linux, o Apache e as versões PHP que Nayana usa em pelo menos uma parte de sua infraestrutura estão lamentavelmente desatualizados.
Quanto aos backups, o provedor de hospedagem não tinha um, mas dois. Infelizmente, Nayana claramente não conseguiu configurá-los corretamente porque eles também foram criptografados pelo ransomware.
É óbvio que Nayana não estava preparado para um ataque de ransomware, e os operadores do Erebus aparentemente sabiam disso muito bem. Em um de seus e-mails, eles disseram ao CEO do provedor de hospedagem que, se ele não conseguir arrecadar dinheiro para o resgate, sua empresa simplesmente falirá. Se você está sendo muito severo ou não, é para você decidir. Uma coisa é certa, no entanto. Os clientes da Nayana não são responsáveis pelas falhas de segurança do provedor de hospedagem e, no final, foram eles que foram forçados a suportar as consequências.