Ransomware Erebus para Linux: su impacto en servidores y contramedidas
El 10 de junio, la compañía sudcoreana de alojamiento web NAYANA se convirtió en una de las últimas víctimas del ransomware después de que 153 de sus servidores Linux se vieran infectados con una variante del ransomware Erebus, detectada por Trend Micro como RANSOM_ELFEREBUS.A.
El ataque de ransomware afectó a las web, bases de datos y archivos multimedia de alrededor de 3.400 empresas que utilizan los servicios de NAYANA.
En el último aviso publicado en la página web de la compañía, parece que los ciberdelincuentes obligaron a NAYANA a pagar el rescate. NAYANA procedió a pagar el primero de los tres pagos que debía realizar antes de recibir las claves necesarias para descifrar los archivos infectados. Sin embargo, NAYANA aún no ha recibido la primera clave de descifrado.
Erebus evolucionó desde la utilización de exploit kits a técnicas para eludir el Control de Cuentas de Usuario
El ransomware Erebus (RANSOM_EREBUS.A) apareció por primera vez en septiembre de 2016, y se distribuía por malvertisements (anuncios maliciosos). Los anuncios maliciosos desviaron a las víctimas al exploit kit Rig, que infecta los sistemas de la víctima con ransomware. Esta variante Erebus tiene como objetivo 423 tipos de archivos, archivos de codificación con el algoritmo de cifrado RSA-2048 y anexa los archivos afectados con la extensión .ecrypt. Esta versión de Erebus se observó utilizando sitios web comprometidos en Corea del Sur como sus servidores de comando y control (C&C).
En febrero de 2017, se descubrió que Erebus había evolucionado y cambiado sus tácticas, utilizando una técnica que evita el Control de Cuentas de Usuario (UAC) -una función de Windows que ayuda a prevenir que se produzcan cambios no autorizados en el sistema- para ejecutar el ransomware con privilegios elevados. En su nota de rescate, Erebus amenaza con borrar los archivos de la víctima dentro de las 96 horas siguientes a menos que se pague el rescate, que es 0,085 Bitcoin (216 dólares, a 15 de junio de 2017). Esta versión (RANSOM_EREBUS.TOR) también elimina las copias instantáneas para evitar que las víctimas recuperen sus archivos.
Ahora, el ransomware Erebus puede infectar servidores
La variante de malware que infectó a los servidores de NAYANA es el ransomware Erebus que fue transferido a servidores Linux. El análisis que está llevando a cabo Trend Micro indica que esta versión utiliza el algoritmo RSA para cifrar las claves AES; los archivos infectados se cifran con claves AES únicas. Sus mecanismos de permanencia incluyen un falso servicio Bluetooth añadido para garantizar que el ransomware se ejecute incluso después de reiniciar el sistema o el servidor. También emplea UNIX cron, una función de sistemas operativos como Unix y Linux que programa trabajos a través de comandos o scripts de shell para verificar cada hora si el ransomware se está ejecutando. Similar al caso de NAYANA, originalmente pedía 10 Bitcoins (24.689 dólares), pero el rescate ha bajado a 5 BTC (12.344 dólares).
Esta iteración de Erebus tiene como objetivo 433 tipos de archivos, algunos de los cuales incluyen:
• Documentos de Office (.pptx, .docx, .xlsx)
• Bases de datos (.sql, .mdb, .dbf, .odb)
• Archivos (.zip, .rar)
• Ficheros de correo electrónico (.eml, .msg)
• Archivos de proyecto del desarrollador y del sitio web (.html, .css, .php, .java)
• Archivos multimedia (.avi, .mp4)
Erebus no es el primer malware de cifrado de archivos dirigido a sistemas Linux, ni siquiera a servidores. Linux.Encoder, Encryptor RaaS, una versión de KillDisk, Rex, Fairware y KimcilWare son todos capaces de dirigirse a máquinas que ejecutan Linux. De hecho, el ransomware para Linux apareció ya en 2014, y fueron ramificaciones de proyectos supuestamente de código abierto diseñado con fines educativos. Los ransomware SAMSAM, Petya y Crysis son solo algunas de las familias conocidas para atacar y provocar brechas en servidores.
Aunque el ransomware Linux no está tan establecido o en su grado de madurez como sus equivalentes de Windows, todavía puede representar un impacto adverso significativo para los usuarios y especialmente para las empresas. Tal y como NAYANA ha ejemplificado, Linux es un sistema operativo cada vez más popular y un elemento omnipresente en los procesos de negocio de las organizaciones de diversas industrias, abarcando desde servidores y bases de datos hasta el desarrollo web y dispositivos móviles. Por ejemplo, los centros de datos y los proveedores de servicios de hosting/almacenamiento usan también máquinas que corren sobre Linux.
Prácticas recomendadas para proteger los servidores y sistemas Linux
El impacto del ransomware como Erebus para las operaciones de una organización, la reputación y el balance final pone de relieve la importancia de asegurar los servidores y sistemas que impulsan los procesos de negocio de una empresa. Además, el efecto se multiplica si un ransomware también logra infectar no solo los endpoints, sino también los servidores y las redes. A continuación, Trend Micro ofrece una serie de consejos y buenas prácticas que los administradores de TI/sistemas y profesionales de la seguridad de la información pueden adoptar para reforzar la postura de seguridad de sus servidores y sistemas:
• Mantener actualizado el sistema y el servidor. Se debe aplicar una política de administración de parches sólida para garantizar que el sistema y el servidor cuentan con los últimos parches, correcciones y kernel desplegados.
• Evitar o minimizar la adición de repositorios o paquetes de terceros o desconocidos. Esto limita las vulnerabilidades que los atacantes pueden emplear como puntos de entrada en el servidor o sistema. Los riesgos se pueden reducir aún más si se eliminan o deshabilitan componentes o servicios innecesarios en el servidor.
• Aplicar el principio de menos privilegios. Al separar privilegios de Linux se proporciona una manera de restringir a las modificaciones que un programa puede realizar en el sistema.La restricción de permisos/privilegios también ayuda a mitigar la exposición y otros daños, además de evitar el uso no autorizado. Los administradores de TI y sistemas pueden considerar el uso de extensiones que implementan políticas obligatorias que gestionan el alcance de acceso que un programa puede tener a un archivo de sistema o a un recurso de red.
• Supervisar y validar proactivamente el tráfico de red. Proteger la red contra las amenazas es una necesidad para cualquier empresa. La implementación de sistemas de prevención y detección de intrusiones, así como firewalls, ayuda a identificar, filtrar y bloquear el tráfico, lo que puede indicar una infección de malware. El registro de eventos proporciona información forense que puede ayudar a los administradores de TI/sistema a detectar intentos de incursión y ataques reales.
• Haga una copia de seguridad de sus archivos. Una contramedida eficaz contra la táctica y el impacto del miedo al ransomware es realizar copias de seguridad de los archivos almacenados en el sistema o en el servidor, con al menos tres copias en dos formatos diferentes, con una de ellas almacenada fuera del sistema.
• Aplicar segmentación de red y categorización de datos. La segmentación de la red restringe la propagación de la infección, mientras que la categorización de los datos mitiga los daños que se pueden producir en un ataque.