The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

20.06.2017 10:25  Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком

Компания Trend Micro предупредила пользователей о появлении варианта вредоносного шифровальщика Erebus для платформы Linux. Жертвой Erebus уже стал южнокорейский хостинг-оператор Nayana, содержимое 153 серверов которого, на которых размещались данные 3400 клиентов, оказались зашифрованы. Nayana выразил готовность выплатить вымогателям миллион долларов, что является одной из самых крупных выплат в результате применения вредоносных шифровальщиков. Два из трёх платежей уже переведены и часть данных расшифрована.

Утверждается, что на серверах Nayana использовалось устаревшее ПО, не обновляемое уже около 10 лет. Метод проникновения остаётся не ясен, Trend Micro намекает на атаку через PHP 5.1.4 и Apache httpd 1.3.36, но при этом ссылается на уязвимости в совершенно других продуктах - web-панели Plesk и Apache Struts, путая http-сервер Apache и web-фреймворк Apache Struts. При этом на хостинг-системах более вероятным является проведение атаки на уязвимые типовые web-приложения с дальнейшей эксплуатацией локальных уязвимостей для повышения привилегий, таких как уязвимость Dirty COW (на хостинге использовалось ядро Linux 2.6.24.2 (Debian Etch?), собранное в 2008 году).

В Erebus шифрование выполняется на уровне отдельных файлов, которые разбиваются на 500 Кб блоки и шифруются при помощи RC4 со случайно сгенерированным ключом. Созданные RC4-ключи затем кодируется при помощи AES, а применяемая для кодирования AES скрытая фраза шифруется с использованием открытого ключа RSA-2048 и сохраняются в файле. Таким образом, каждый файл имеет свой набор RC4/AES-ключей и один общий для всех открытый ключ RSA-2048. Ключи RSA-2048 формируются локально, при этом необходимый для расшифровки закрытый ключ сохранён в виде, зашифрованном при помощи дополнительного ключа AES, сформированного на основе известной только злоумышленникам последовательности и идентификатора текущей системы. Шифрование выполняется для 433 типов файлов и каталогов, включая содержимое /var/www и файлов баз данных MySQL.

  1. Главная ссылка к новости (http://blog.trendmicro.com/tre...)
  2. OpenNews: Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика
  3. OpenNews: В BitTorrent-клиенте Transmission 2.90 выявлено вредоносное ПО для OS X (дополнено)
  4. OpenNews: Уязвимость в вымогательском ПО для Linux/FreeBSD свела стойкость шифрования на нет
  5. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
  6. OpenNews: Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ransomware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 10:28, 20/06/2017 [ответить] [смотреть все]
  • +/
    Все это напоминает истории с самолийскими пиратами которым с начала все платили ... весь текст скрыт [показать]
     
     
  • 2.14, Hellraiser, 10:56, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    думается, Trendmicro сильно продешевил, запросив с наяны всего 1 млн либо знал ... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Аноним, 10:30, 20/06/2017 [ответить] [смотреть все]  
  • +9 +/
    >Erebus выразил готовность выплатить вымогателям миллион долларов

    Я чего-то не понимаю в этой жизни, или регулярное резервное копирование правда стоит дороже миллиона долларов и репутации?

     
     
  • 2.6, Аноним, 10:38, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +32 +/
    Какое еще резервное копирование у того кто за 10 лет не обновился ниразу. Как студент один раз поставил дебиян, так и стояло до сих пор
     
  • 2.67, КО, 22:27, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А кой в нем прок в данном случае Разве что за расшифровку бакапов платить второ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.75, Andrey Mitrofanov, 09:33, 21/06/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Ты самозванец Восстанавливаться из бэкапа до шифровальщика Ваш Майор Банальн... весь текст скрыт [показать]
     
     
  • 4.78, Гостище, 11:38, 21/06/2017 [^] [ответить] [смотреть все]  
  • +/
    При чем, я ещё не видел вируса, который поражал оператора резервного копирования... весь текст скрыт [показать]
     
     
  • 5.82, Аноним, 13:17, 21/06/2017 [^] [ответить] [смотреть все]  
  • +/
    А я и ленточных накопителей не видел.
     
  • 5.85, КО, 16:45, 21/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Ну если на кассеты и в сейф складывать, то еще туда-сюда Но это ж хозяина надо ... весь текст скрыт [показать]
     
  • 4.84, КО, 16:43, 21/06/2017 [^] [ответить] [смотреть все]  
  • –3 +/
    А файлы бэкапа за бесплатно, что-ли расшифровывают В качестве жеста гуманита... весь текст скрыт [показать]
     
  • 1.3, username, 10:30, 20/06/2017 [ответить] [смотреть все]  
  • +12 +/
    Га га, веб панель, по не обновляемое уже 10 лет. Нет бекапов, гагага)))
     
     
  • 2.10, имя, 10:48, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    странно что они заработали миллион..
     
     
  • 3.16, Аноним, 11:05, 20/06/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Как видно, важно не только заработать миллион, но и сохранить его.
     
     
  • 4.19, Andrey Mitrofanov, 11:14, 20/06/2017 [^] [ответить] [смотреть все]  
  • +6 +/
    > Как видно, важно не только заработать миллион, но и сохранить его.

    Во-во, "веб панель, по не обновляемое уже 10 лет. Нет бекапов" == PROFF1 ^W сэкономленный миллион! И не один, судя по всему, - бузинес-то процветает.  #зависть #небудувбэкапы10летиябогат

     
  • 2.18, Аноним, 11:08, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Есть хотите?
     
  • 2.31, Аноним, 13:24, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –6 +/
    Открытое ПО же Да еще и стабильное Какие претензии Зато за 10 лет ни единого ... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Отражение луны, 10:32, 20/06/2017 [ответить] [смотреть все]  
  • +1 +/
    > путая http-сервер Apache и web-фреймворк Apache Struts

    Хорошее чувство юмора у людей)

     
  • 1.5, Аноним, 10:37, 20/06/2017 [ответить] [смотреть все]  
  • +5 +/
    пойду обновлюсь ...
     
     
  • 2.70, rpm, 02:48, 21/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    точняк.
    Тоже пройдусь по списку накачу обновы.
     
     
  • 3.79, Гостище, 11:41, 21/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А есть список тех, кому надо обновить ... весь текст скрыт [показать]
     
  • 1.7, Аноним, 10:45, 20/06/2017 [ответить] [смотреть все]  
  • +1 +/
    Идиоты, что тут скажешь ... весь текст скрыт [показать]
     
     
  • 2.29, миливольт, 13:03, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +4 +/
    Тем не менее, каждый 3-й заявляет Нафига мне апдейты Работает - и ладно а то... весь текст скрыт [показать] [показать ветку]
     
  • 1.9, А, 10:48, 20/06/2017 [ответить] [смотреть все]  
  • +2 +/
    > Trend Micro намекает на атаку

    TM этим сообщением подтвердило их собственный уровень.

     
  • 1.11, Аноним, 10:51, 20/06/2017 [ответить] [смотреть все]  
  • +/
    А где-же восторженные возгласы доктор веба?
     
     
  • 2.13, A.Stahl, 10:56, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Они с Касперским мордобой устроили за право первыми написать спам-статью Им туд... весь текст скрыт [показать] [показать ветку]
     
  • 2.17, boss_sas_, 11:06, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    там и не при чем linux наверно.. не одним ядром живем
     
  • 1.21, Аноним, 12:20, 20/06/2017 [ответить] [смотреть все]  
  • +2 +/
    Админы делятся на тех, кто не делает бэкапы и кто уже делает бэкапы.
     
     
  • 2.24, Michael Shigorin, 12:33, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –6 +/
    Браво бэкапить уже зашифрованное может оказаться не шибко полезно, бэкапы бэкапа... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.80, Гостище, 11:42, 21/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Михаил, что же это вы так Хм ... весь текст скрыт [показать]
     
  • 2.28, A.Stahl, 13:03, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    А есть ещё админы которые познали дзен, осознали тлен и уже не делают бекапы.
     
     
  • 3.59, Аноним, 19:00, 20/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Остроумно.
    На хайлоаде такое тоже было и вызвало разрыв многих 5х точек.
     
  • 1.23, Michael Shigorin, 12:33, 20/06/2017 [ответить] [смотреть все]  
  • +/
    > Apache httpd 1.3.36

    Ммм... а что там у нас было-то (http://packages.altlinux.org/ru/Sisyphus/srpms/apache/changelog):

    CVE-2006-3747 (mod_rewrite+ldap, "на локального юзера")
    CVE-2007-1349 (mod_perl DoS)
    CVE-2007-3304 (scoreboard DoS)
    CVE-2006-5752 (mod_status XSS)
    CVE-2007-3847 (mod_proxy DoS на windows/netware)
    CVE-2007-5000 (mod_imap XSS)
    CVE-2007-6388 (mod_status XSS)
    CVE-2010-0010 (mod_proxy DoS/RCE)

    Кто-нибудь может сказать, зачем бы хостеру mod_proxy?

     
     
  • 2.45, пох, 15:13, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    --enable-shared max и вперед, по кочкам в виду стильно-модно-современных реше... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, Andrey Mitrofanov, 15:23, 20/06/2017 [^] [ответить] [смотреть все]  
  • +3 +/
    Вы, конечно, ближе к теме, но -- теперь ставка за посредничество в передаче дене... весь текст скрыт [показать]
     
  • 2.81, Гостище, 11:46, 21/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вероятно, кто-то апач на фронтенде держит ... весь текст скрыт [показать] [показать ветку]
     
  • 1.25, Мимоанон, 12:35, 20/06/2017 [ответить] [смотреть все]  
  • +1 +/
    >коммерческий хостинг
    >php 5.1.4

    ну вот КАК? как такое возможно.

     
     
  • 2.47, пох, 15:14, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    рискнешь поменять на хостинге с 4000 клиентов и, главное - смысл Но клиенты,... весь текст скрыт [показать] [показать ветку]
     
  • 1.26, ABATAPA, 12:45, 20/06/2017 [ответить] [смотреть все]  
  • +1 +/
    > южнокорейский хостинг-оператор Nayana
    > устаревшее ПО, не обновляемое уже около 10 лет
    > ядро Linux 2.6.24.2 (Debian Etch?), собранное в 2008 году

    Нет слов. :|

     
     
  • 2.89, crypt, 08:04, 22/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    а у меня нет слов, каждый раз, когда я вижу новый тред где найти самый дешевый ... весь текст скрыт [показать] [показать ветку]
     
  • 1.27, woodman, 12:56, 20/06/2017 [ответить] [смотреть все]  
  • +7 +/
    Ничего вы в бизнесе не понимаете, Nayana отмывает деньги, неплохо обналичили пару миллионов. Хорошая схема.
     
     
  • 2.58, freehck, 17:51, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Вы понимаете, что деньги, выведенные из компании таким способом, надо будет отмы... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.61, Аноним, 19:30, 20/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Зато их вообще можно вывести, и сразу миллион!
     
  • 3.64, Led, 21:30, 20/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    биткоины ... весь текст скрыт [показать]
     
     
  • 4.68, freehck, 22:33, 20/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Естественно, ведь надо, чтобы тебя не отследили - раз, чтобы налоговики живьём н... весь текст скрыт [показать]
     
     
  • 5.76, Вася, 10:29, 21/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    зачем так сложно отмывать ? проще потратить их на взятки
     
  • 1.35, Аноним, 13:59, 20/06/2017 [ответить] [смотреть все]  
  • –1 +/
    Звучит как 10 лет назад имел незащищённый половой контакт с проституткой Сегод... весь текст скрыт [показать]
     
     
  • 2.36, AlexYeCu_not_logged, 14:06, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Где противоречие ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Аноним, 15:13, 20/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А вы я вижу, баальшой затейник. :-)
     
  • 3.60, Аноним, 19:14, 20/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Эх молодёж!
    Методов проникновения существует больше чем 1.
     
     
  • 4.63, Аноним, 20:25, 20/06/2017 [^] [ответить] [смотреть все]  
  • +/
    И-и-и СПИД теперь только единственным методом проникновения передается Срочно ... весь текст скрыт [показать]
     
  • 1.42, dep, 15:09, 20/06/2017 [ответить] [смотреть все]  
  • +/
    Это просто банальное жлобство: миллионы на выкуп есть, а обновить и держать хотя бы в какой-то актуальности - денег нет.
     
     
  • 2.71, элвис жив, 03:53, 21/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Миллион раз в десять лет - это всего 8333 долларов в месяц без учёта инфляции.
     
  • 1.44, ввввв, 15:10, 20/06/2017 [ответить] [смотреть все]  
  • +/
    А вот интересно, как они налоговый аудит пройдут?

    Кто докажет, что это выплаты, а не отмывание?

    p.s. мне кажется, что у этих товарищей бизнес процветал, а теперь ещё и на налогах сэкономили))

     
     
  • 2.48, пох, 15:18, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    не, херня- 3400 копеечных клиентов на древних серверах это сколько - 200 клиент... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.55, erera22, 16:45, 20/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Это 20 клиентов Ощущение, что они размещали пользователей на чипах от утюгов ... весь текст скрыт [показать]
     
     
  • 4.69, пох, 22:35, 20/06/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    я сперва поудивлялся тоже, потом подумал - а хрен ли, когда у меня на такой конф... весь текст скрыт [показать]
     
  • 2.52, Andrey Mitrofanov, 15:26, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Точно Отмывают чёрные black ops платежи Микрософта за чёрный анти-линакс пиар ... весь текст скрыт [показать] [показать ветку]
     
  • 2.57, Michael Shigorin, 17:27, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > и на логах сэкономили))

    Если сэкономили на бэкапах -- может быть и так...

     
  • 1.53, Аноним, 15:31, 20/06/2017 [ответить] [смотреть все]  
  • +/
    А без работы всё равно ты, $username :)
     
     
  • 2.72, элвис жив, 03:55, 21/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    конечно, выгоднее раз в десять лет платить миллион, чем держать штат из 3-4 адми... весь текст скрыт [показать] [показать ветку]
     
  • 1.54, erera22, 16:44, 20/06/2017 [ответить] [смотреть все]  
  • +/
    Что-то не сходится. Хостинг. 3400 клиентов. 153 сервера. По ~22 пользователя на хостинг-сервер? Бред какой-то. И да, все 150+ серверов с идентичным ПО многолетней давности? Совсем не верится.
     
     
  • 2.66, пох, 22:25, 20/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    хавнохостинг - сервера тоже 2005го года, как и ведро на них Пользователь размаз... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.91, Аноним, 23:53, 22/06/2017 [^] [ответить] [смотреть все]  
  • +/
    Очнись, нету уже Агавы ... весь текст скрыт [показать]
     
     
  • 4.94, Аноним, 14:48, 23/06/2017 [^] [ответить] [смотреть все]  
  • +/
    а кто мне спам с их серваков шлет - зомби?

     
  • 1.62, Аноним, 19:51, 20/06/2017 [ответить] [смотреть все]  
  • –1 +/
    Юзаю хостимэн. У них также древний софт. PHP 5.2
     
  • 1.73, anomymous, 08:23, 21/06/2017 [ответить] [смотреть все]  
  • +/
    >>> Что-то не сходится. Хостинг. 3400 клиентов. 153 сервера

    Так точно. Либо это таки не хостинг, либо кто-то врёт :)

     
  • 1.74, jOKer, 08:54, 21/06/2017 [ответить] [смотреть все]  
  • +1 +/
    Пыхи... ну, сколько, сколько еще можно наступать на эти грабли с недоязыком с порогом вхождения ниже уровня канализации?!

    Ну, да! - в мире есть профи-программисты зарабатывающие реально хорошие деньги на реально хорошем качестве кода даже на пыхе.. вот только на каждого такого профи приходится тысяч десять г0вн0-кодеров гордо именующихся "инженер-программист PHP" и пишущими такое, что хоть стой, хоть падай!

    А недоязык позволяет им выпускать в свет свои поделки через два часа изучения обзора в духе "сделай сам". А потом, ррраз! - и на коммерческом хостинге _внезапно_ оказываются зашифрованными десятки серверов. И все потому, что такой г0вн0-кодер допустил дырень в своем п0делии, а исправил (если исправил!) лет этак через пять-шесть.

    И все это время админы серверов могут обновляться хоть каждый день, - толку будет ровно столько же, если бы они забили на все и ушли пить пиво.

     
     
  • 2.77, Crazy Alex, 10:39, 21/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это ниша такая Не пых - что-то другое её займёт Качественного в любой сфере ма... весь текст скрыт [показать] [показать ветку]
     
  • 1.83, Lol, 16:13, 21/06/2017 [ответить] [смотреть все]  
  • +/
    3400/150
    22

    слабо оверселят

     
     
  • 2.87, fi, 18:46, 21/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это немного, я помню случаи когда более тыс виртуальных серверов поднимали под ... весь текст скрыт [показать] [показать ветку]
     
  • 1.86, fi, 18:44, 21/06/2017 [ответить] [смотреть все]  
  • –1 +/
    > на атаку через PHP 5.1.4 и Apache httpd 1.3.36, но при этом ссылается на уязвимости в совершено других продуктах - web-панели Plesk.

    Так плеск на PHP и свой сервер httpd поднимает (со своим модулем шифрование) - скорей всего, его ломали.  

    Да и ставить надо было не Debian, а RHEL или его клон -  там всегда свежие update!

     
  • 1.88, Ilya Indigo, 06:31, 22/06/2017 [ответить] [смотреть все]  
  • –2 +/
    > ...PHP 5.1.4 и Apache httpd 1.3.36...

    Таких никрофилов нужно стразу расстреливать!

     
     
  • 2.92, Аноним, 23:59, 22/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Полегче Это все-таки ЮЖНАЯ Корея... весь текст скрыт [показать] [показать ветку]
     
  • 1.90, M I N O N V, 09:57, 22/06/2017 [ответить] [смотреть все]  
  • –1 +/
    В какой это теме такие кнопки?
     
     
  • 2.93, M I N O N V, 09:51, 23/06/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    А за что минус, что за днище? Нет что бы ответить, по человечески же написал.
     
     
  • 3.95, Led, 23:09, 23/06/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Они просто завидуют, что у тебя сейчас каникулы ... весь текст скрыт [показать]
     
     
  • 4.96, Ояш, 13:11, 05/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Нет, скорее наоборот, критические не прекращающиеся дни XD
     
  • 2.97, M I N O N V, 13:36, 05/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Сам нашел Ambiance Radiance Flat Colors - opendesktop org s Gnome p 1013665 ... весь текст скрыт [показать] [показать ветку]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor