The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

20.06.2017 10:25  Более 150 Linux-cерверов хостинг-оператора Nayana оказались поражены вредоносным шифровальщиком

Компания Trend Micro предупредила пользователей о появлении варианта вредоносного шифровальщика Erebus для платформы Linux. Жертвой Erebus уже стал южнокорейский хостинг-оператор Nayana, содержимое 153 серверов которого, на которых размещались данные 3400 клиентов, оказались зашифрованы. Nayana выразил готовность выплатить вымогателям миллион долларов, что является одной из самых крупных выплат в результате применения вредоносных шифровальщиков. Два из трёх платежей уже переведены и часть данных расшифрована.

Утверждается, что на серверах Nayana использовалось устаревшее ПО, не обновляемое уже около 10 лет. Метод проникновения остаётся не ясен, Trend Micro намекает на атаку через PHP 5.1.4 и Apache httpd 1.3.36, но при этом ссылается на уязвимости в совершенно других продуктах - web-панели Plesk и Apache Struts, путая http-сервер Apache и web-фреймворк Apache Struts. При этом на хостинг-системах более вероятным является проведение атаки на уязвимые типовые web-приложения с дальнейшей эксплуатацией локальных уязвимостей для повышения привилегий, таких как уязвимость Dirty COW (на хостинге использовалось ядро Linux 2.6.24.2 (Debian Etch?), собранное в 2008 году).

В Erebus шифрование выполняется на уровне отдельных файлов, которые разбиваются на 500 Кб блоки и шифруются при помощи RC4 со случайно сгенерированным ключом. Созданные RC4-ключи затем кодируется при помощи AES, а применяемая для кодирования AES скрытая фраза шифруется с использованием открытого ключа RSA-2048 и сохраняются в файле. Таким образом, каждый файл имеет свой набор RC4/AES-ключей и один общий для всех открытый ключ RSA-2048. Ключи RSA-2048 формируются локально, при этом необходимый для расшифровки закрытый ключ сохранён в виде, зашифрованном при помощи дополнительного ключа AES, сформированного на основе известной только злоумышленникам последовательности и идентификатора текущей системы. Шифрование выполняется для 433 типов файлов и каталогов, включая содержимое /var/www и файлов баз данных MySQL.

  1. Главная ссылка к новости (http://blog.trendmicro.com/tre...)
  2. OpenNews: Трём миллионам уязвимых JBoss-серверов угрожает атака вредоносного шифровальщика
  3. OpenNews: В BitTorrent-клиенте Transmission 2.90 выявлено вредоносное ПО для OS X (дополнено)
  4. OpenNews: Уязвимость в вымогательском ПО для Linux/FreeBSD свела стойкость шифрования на нет
  5. OpenNews: Выявлено вымогательское вредоносное ПО, шифрующее файлы на серверах с Linux и FreeBSD
  6. OpenNews: Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: ransomware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (1), 10:28, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Все это напоминает истории с самолийскими пиратами которым с начала все платили дань а потом очень сильно стали щемить....

     
     
  • 2.14, Hellraiser (??), 10:56, 20/06/2017 [^] [ответить]    [к модератору]
  • +3 +/
    думается, Trendmicro сильно продешевил, запросив с наяны всего 1 млн; либо знал - что с наяны больше не сострижёшь
     
  • 1.2, Аноним (-), 10:30, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +9 +/
    >Erebus выразил готовность выплатить вымогателям миллион долларов

    Я чего-то не понимаю в этой жизни, или регулярное резервное копирование правда стоит дороже миллиона долларов и репутации?

     
     
  • 2.6, Аноним (-), 10:38, 20/06/2017 [^] [ответить]    [к модератору]
  • +32 +/
    Какое еще резервное копирование у того кто за 10 лет не обновился ниразу. Как студент один раз поставил дебиян, так и стояло до сих пор
     
  • 2.67, КО (?), 22:27, 20/06/2017 [^] [ответить]    [к модератору]
  • +2 +/
    А кой в нем прок в данном случае? Разве что за расшифровку бакапов платить второй миллион придется. :)
     
     
  • 3.75, Andrey Mitrofanov (?), 09:33, 21/06/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    > А кой в нем прок в данном случае? Разве что за расшифровку
    > бакапов платить второй миллион придется. :)

    Ты самозванец. Восстанавливаться из бэкапа до шифровальщика. //Ваш Майор Банальность.

     
     
  • 4.78, Гостище (?), 11:38, 21/06/2017 [^] [ответить]    [к модератору]  
  • +/
    При чем, я ещё не видел вируса, который поражал оператора резервного копирования, регулярно бекапящего на новые кассеты.
     
     
  • 5.82, Аноним (-), 13:17, 21/06/2017 [^] [ответить]    [к модератору]  
  • +/
    А я и ленточных накопителей не видел.
     
  • 5.85, КО (?), 16:45, 21/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Ну если на кассеты и в сейф складывать, то еще туда-сюда.
    Но это ж хозяина надо раскрутить на такое добро.
     
  • 4.84, КО (?), 16:43, 21/06/2017 [^] [ответить]    [к модератору]  
  • –3 +/
    А файлы бэкапа за бесплатно, что-ли расшифровывают? :)
    В качестве жеста гуманитарной помощи?
     
  • 1.3, username (??), 10:30, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +12 +/
    Га га, веб панель, по не обновляемое уже 10 лет. Нет бекапов, гагага)))
     
     
  • 2.10, имя (?), 10:48, 20/06/2017 [^] [ответить]    [к модератору]  
  • +/
    странно что они заработали миллион..
     
     
  • 3.16, Аноним (-), 11:05, 20/06/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    Как видно, важно не только заработать миллион, но и сохранить его.
     
     
  • 4.19, Andrey Mitrofanov (?), 11:14, 20/06/2017 [^] [ответить]    [к модератору]  
  • +6 +/
    > Как видно, важно не только заработать миллион, но и сохранить его.

    Во-во, "веб панель, по не обновляемое уже 10 лет. Нет бекапов" == PROFF1 ^W сэкономленный миллион! И не один, судя по всему, - бузинес-то процветает.  #зависть #небудувбэкапы10летиябогат

     
  • 2.18, Аноним (-), 11:08, 20/06/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Есть хотите?
     
  • 2.31, Аноним (-), 13:24, 20/06/2017 [^] [ответить]     [к модератору]  
  • –6 +/
    Открытое ПО же Да еще и стабильное Какие претензии Зато за 10 лет ни единого ... весь текст скрыт [показать]
     
  • 1.4, Отражение луны (ok), 10:32, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > путая http-сервер Apache и web-фреймворк Apache Struts

    Хорошее чувство юмора у людей)

     
  • 1.5, Аноним (-), 10:37, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    пойду обновлюсь ...
     
     
  • 2.70, rpm (?), 02:48, 21/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    точняк.
    Тоже пройдусь по списку накачу обновы.
     
     
  • 3.79, Гостище (?), 11:41, 21/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > точняк.
    > Тоже пройдусь по списку накачу обновы.

    А есть список тех, кому надо обновить?

     
  • 1.7, Аноним (-), 10:45, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Утверждается, что на серверах Nayana использовалось устаревшее ПО, не обновляемое уже около 10 лет.

    Идиоты, что тут скажешь.

     
     
  • 2.29, миливольт (?), 13:03, 20/06/2017 [^] [ответить]    [к модератору]  
  • +4 +/
    Тем не менее, каждый 3-й заявляет: "Нафига мне апдейты? Работает - и ладно. а то сломается еще чего-нибудь"
     
  • 1.9, А (??), 10:48, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    > Trend Micro намекает на атаку

    TM этим сообщением подтвердило их собственный уровень.

     
  • 1.11, Аноним (-), 10:51, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А где-же восторженные возгласы доктор веба?
     
     
  • 2.13, A.Stahl (ok), 10:56, 20/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Они с Касперским мордобой устроили за право первыми написать спам-статью. Им туда ещё пивас-студию добавить и получилось бы отличное зрелище.
     
  • 2.17, boss_sas_ (?), 11:06, 20/06/2017 [^] [ответить]    [к модератору]  
  • +/
    там и не при чем linux наверно.. не одним ядром живем
     
  • 1.21, Аноним (-), 12:20, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Админы делятся на тех, кто не делает бэкапы и кто уже делает бэкапы.
     
     
  • 2.24, Michael Shigorin (ok), 12:33, 20/06/2017 [^] [ответить]    [к модератору]  
  • –7 +/
    > Админы делятся на тех, кто не делает бэкапы и кто уже делает бэкапы.

    Браво бэкапить уже зашифрованное может оказаться не шибко полезно, бэкапы бэкапам рознь.

     
     
  • 3.80, Гостище (?), 11:42, 21/06/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Михаил, что же это вы так Хм ... весь текст скрыт [показать]
     
  • 2.28, A.Stahl (ok), 13:03, 20/06/2017 [^] [ответить]    [к модератору]  
  • +5 +/
    А есть ещё админы которые познали дзен, осознали тлен и уже не делают бекапы.
     
     
  • 3.59, Аноним (-), 19:00, 20/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Остроумно.
    На хайлоаде такое тоже было и вызвало разрыв многих 5х точек.
     
  • 1.23, Michael Shigorin (ok), 12:33, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    > Apache httpd 1.3.36

    Ммм... а что там у нас было-то (http://packages.altlinux.org/ru/Sisyphus/srpms/apache/changelog):

    CVE-2006-3747 (mod_rewrite+ldap, "на локального юзера")
    CVE-2007-1349 (mod_perl DoS)
    CVE-2007-3304 (scoreboard DoS)
    CVE-2006-5752 (mod_status XSS)
    CVE-2007-3847 (mod_proxy DoS на windows/netware)
    CVE-2007-5000 (mod_imap XSS)
    CVE-2007-6388 (mod_status XSS)
    CVE-2010-0010 (mod_proxy DoS/RCE)

    Кто-нибудь может сказать, зачем бы хостеру mod_proxy?

     
     
  • 2.45, пох (?), 15:13, 20/06/2017 [^] [ответить]     [к модератору]  
  • +/
    --enable-shared max и вперед, по кочкам в виду стильно-модно-современных реше... весь текст скрыт [показать]
     
     
  • 3.50, Andrey Mitrofanov (?), 15:23, 20/06/2017 [^] [ответить]    [к модератору]  
  • +3 +/
    >второй-то миллион им достался, за консультацию.

    Вы, конечно, ближе к теме, но -- теперь ставка за посредничество в передаче денег бандитам  аж +100% ?

     
  • 2.81, Гостище (?), 11:46, 21/06/2017 [^] [ответить]    [к модератору]  
  • +/
    >> Apache httpd 1.3.36
    > CVE-2010-0010 (mod_proxy DoS/RCE)
    > Кто-нибудь может сказать, зачем бы хостеру mod_proxy?

    Вероятно, кто-то апач на фронтенде держит.

     
  • 1.25, Мимоанон (?), 12:35, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    >коммерческий хостинг
    >php 5.1.4

    ну вот КАК? как такое возможно.

     
     
  • 2.47, пох (?), 15:14, 20/06/2017 [^] [ответить]     [к модератору]  
  • +/
    рискнешь поменять на хостинге с 4000 клиентов и, главное - смысл Но клиенты,... весь текст скрыт [показать]
     
  • 1.26, ABATAPA (ok), 12:45, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > южнокорейский хостинг-оператор Nayana
    > устаревшее ПО, не обновляемое уже около 10 лет
    > ядро Linux 2.6.24.2 (Debian Etch?), собранное в 2008 году

    Нет слов. :|

     
     
  • 2.89, crypt (ok), 08:04, 22/06/2017 [^] [ответить]    [к модератору]  
  • +/
    а у меня нет слов, каждый раз, когда я вижу новый тред "где найти самый дешевый впс". есть спрос - есть предложение.
     
  • 1.27, woodman (??), 12:56, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +7 +/
    Ничего вы в бизнесе не понимаете, Nayana отмывает деньги, неплохо обналичили пару миллионов. Хорошая схема.
     
     
  • 2.58, freehck (ok), 17:51, 20/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Вы понимаете, что деньги, выведенные из компании таким способом, надо будет отмывать ещё раз? :)
     
     
  • 3.61, Аноним (-), 19:30, 20/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Зато их вообще можно вывести, и сразу миллион!
     
  • 3.64, Led (ok), 21:30, 20/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Вы понимаете, что деньги, выведенные из компании таким способом, надо будет отмывать
    > ещё раз? :)

    биткоины?

     
     
  • 4.68, freehck (ok), 22:33, 20/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Естественно, ведь надо, чтобы тебя не отследили - раз, чтобы налоговики живьём н... весь текст скрыт [показать]
     
     
  • 5.76, Вася (??), 10:29, 21/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    зачем так сложно отмывать ? проще потратить их на взятки
     
  • 1.35, Аноним (-), 13:59, 20/06/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Звучит как 10 лет назад имел незащищённый половой контакт с проституткой Сегод... весь текст скрыт [показать]
     
     
  • 2.36, AlexYeCu_not_logged (?), 14:06, 20/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    >имел незащищённый половой контакт с проституткой
    >Метод проникновения остаётся не ясен

    Где противоречие?

     
     
  • 3.46, Аноним (-), 15:13, 20/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А вы я вижу, баальшой затейник. :-)
     
  • 3.60, Аноним (-), 19:14, 20/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Эх молодёж!
    Методов проникновения существует больше чем 1.
     
     
  • 4.63, Аноним (-), 20:25, 20/06/2017 [^] [ответить]    [к модератору]  
  • +/
    И-и-и? СПИД теперь только единственным методом проникновения передается? Срочно идите за нобелвекой!
     
  • 1.42, dep (?), 15:09, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Это просто банальное жлобство: миллионы на выкуп есть, а обновить и держать хотя бы в какой-то актуальности - денег нет.
     
     
  • 2.71, элвис жив (?), 03:53, 21/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Миллион раз в десять лет - это всего 8333 долларов в месяц без учёта инфляции.
     
  • 1.44, ввввв (?), 15:10, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А вот интересно, как они налоговый аудит пройдут?

    Кто докажет, что это выплаты, а не отмывание?

    p.s. мне кажется, что у этих товарищей бизнес процветал, а теперь ещё и на налогах сэкономили))

     
     
  • 2.48, пох (?), 15:18, 20/06/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    не, херня- 3400 копеечных клиентов на древних серверах это сколько - 200 клиент... весь текст скрыт [показать]
     
     
  • 3.55, erera22 (ok), 16:45, 20/06/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Это 20 клиентов Ощущение, что они размещали пользователей на чипах от утюгов ... весь текст скрыт [показать]
     
     
  • 4.69, пох (?), 22:35, 20/06/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    я сперва поудивлялся тоже, потом подумал - а хрен ли, когда у меня на такой конф... весь текст скрыт [показать]
     
  • 2.52, Andrey Mitrofanov (?), 15:26, 20/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Точно Отмывают чёрные black ops платежи Микрософта за чёрный анти-линакс пиар ... весь текст скрыт [показать]
     
  • 2.57, Michael Shigorin (ok), 17:27, 20/06/2017 [^] [ответить]    [к модератору]  
  • +/
    > и на логах сэкономили))

    Если сэкономили на бэкапах -- может быть и так...

     
  • 1.53, Аноним (-), 15:31, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А без работы всё равно ты, $username :)
     
     
  • 2.72, элвис жив (?), 03:55, 21/06/2017 [^] [ответить]    [к модератору]  
  • +/
    конечно, выгоднее раз в десять лет платить миллион, чем держать штат из 3-4 админов, которые за эти десять лет несколько раз что-нибудь да сломают конкретно.
     
  • 1.54, erera22 (ok), 16:44, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Что-то не сходится. Хостинг. 3400 клиентов. 153 сервера. По ~22 пользователя на хостинг-сервер? Бред какой-то. И да, все 150+ серверов с идентичным ПО многолетней давности? Совсем не верится.
     
     
  • 2.66, пох (?), 22:25, 20/06/2017 [^] [ответить]     [к модератору]  
  • +/
    хавнохостинг - сервера тоже 2005го года, как и ведро на них Пользователь размаз... весь текст скрыт [показать]
     
     
  • 3.91, Аноним (-), 23:53, 22/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Очнись, нету уже Агавы ... весь текст скрыт [показать]
     
     
  • 4.94, Аноним (-), 14:48, 23/06/2017 [^] [ответить]    [к модератору]  
  • +/
    а кто мне спам с их серваков шлет - зомби?

     
  • 1.62, Аноним (-), 19:51, 20/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Юзаю хостимэн. У них также древний софт. PHP 5.2
     
  • 1.73, anomymous (?), 08:23, 21/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >>> Что-то не сходится. Хостинг. 3400 клиентов. 153 сервера

    Так точно. Либо это таки не хостинг, либо кто-то врёт :)

     
  • 1.74, jOKer (ok), 08:54, 21/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    Пыхи... ну, сколько, сколько еще можно наступать на эти грабли с недоязыком с порогом вхождения ниже уровня канализации?!

    Ну, да! - в мире есть профи-программисты зарабатывающие реально хорошие деньги на реально хорошем качестве кода даже на пыхе.. вот только на каждого такого профи приходится тысяч десять г0вн0-кодеров гордо именующихся "инженер-программист PHP" и пишущими такое, что хоть стой, хоть падай!

    А недоязык позволяет им выпускать в свет свои поделки через два часа изучения обзора в духе "сделай сам". А потом, ррраз! - и на коммерческом хостинге _внезапно_ оказываются зашифрованными десятки серверов. И все потому, что такой г0вн0-кодер допустил дырень в своем п0делии, а исправил (если исправил!) лет этак через пять-шесть.

    И все это время админы серверов могут обновляться хоть каждый день, - толку будет ровно столько же, если бы они забили на все и ушли пить пиво.

     
     
  • 2.77, Crazy Alex (ok), 10:39, 21/06/2017 [^] [ответить]     [к модератору]  
  • +/
    Это ниша такая Не пых - что-то другое её займёт Качественного в любой сфере ма... весь текст скрыт [показать]
     
  • 1.83, Lol (??), 16:13, 21/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    3400/150
    22

    слабо оверселят

     
     
  • 2.87, fi (ok), 18:46, 21/06/2017 [^] [ответить]    [к модератору]  
  • +/
    Это немного, я помню случаи когда более тыс. виртуальных серверов поднимали под Плеск
     
  • 1.86, fi (ok), 18:44, 21/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    > на атаку через PHP 5.1.4 и Apache httpd 1.3.36, но при этом ссылается на уязвимости в совершено других продуктах - web-панели Plesk.

    Так плеск на PHP и свой сервер httpd поднимает (со своим модулем шифрование) - скорей всего, его ломали.  

    Да и ставить надо было не Debian, а RHEL или его клон -  там всегда свежие update!

     
  • 1.88, Ilya Indigo (ok), 06:31, 22/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    > ...PHP 5.1.4 и Apache httpd 1.3.36...

    Таких никрофилов нужно стразу расстреливать!

     
     
  • 2.92, Аноним (-), 23:59, 22/06/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >> ...PHP 5.1.4 и Apache httpd 1.3.36...
    > Таких никрофилов нужно стразу расстреливать!

    Полегче! Это все-таки ЮЖНАЯ Корея

     
  • 1.90, M I N O N V (?), 09:57, 22/06/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    В какой это теме такие кнопки?
     
     
  • 2.93, M I N O N V (?), 09:51, 23/06/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    А за что минус, что за днище? Нет что бы ответить, по человечески же написал.
     
     
  • 3.95, Led (ok), 23:09, 23/06/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > А за что минус, что за днище? Нет что бы ответить, по
    > человечески же написал.

    Они просто завидуют, что у тебя сейчас каникулы.

     
     
  • 4.96, Ояш (?), 13:11, 05/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Нет, скорее наоборот, критические не прекращающиеся дни XD
     
  • 2.97, M I N O N V (?), 13:36, 05/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Сам нашел
    Ambiance & Radiance Flat Colors - opendesktop.org/s/Gnome/p/1013665/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor