Ransomware invade servidores Linux e tira sites do ar
Um malware específico para Linux está infectando servidores ao redor do mundo, conheça o ransomware invade servidores Linux e tira sites do ar.
[ad#texto]
Foi-se o tempo que não existia malware para o Linux, agora um ransomware invade servidores Linux e tira sites do ar na Coreia do Sul.
Seguindo a moda do WannaCry que atacava somente Windows, este novo ransomware ataca exclusivamente ambientes Linux.
De qualquer forma este é um tipo de ameaça que tem se proliferado muito no cenário mundial, pois é de implementação técnica relativamente simples e trás rendimento financeiro imediato ao atacante.
Mas o que de fato fazer para minimizar os estragos?
Ransomware invade servidores Linux e tira sites do ar: o Erebus
Batizado de Erebus, este ransomware atacou aproximadamente 153 servidores Linux da empresa sul coreana Nayana Internet.
Nesta ocasião ele criptografou arquivos do sistema de arquivos apontando para a pasta /var/www e os arquivos ibdata, do banco de dados MySQL.
Desta forma fica fácil presumir que este malware foi pensado especificamente para atacar servidores web.
Ele criptografa os dados do servidor e cria um arquivo chamado _DECRYPT_FILE.txt com as instruções de como recuperar os arquivos e um código de identificação da máquina sequestrada.
[ad#texto]
Ransomware invade servidores Linux e tira sites do ar: como ocorreu
A Trend Micro especula que o ransomware se aproveitou de algum exploit no kernel, no Apache ou no PHP.
A Nayana foi negligente e deixou seus servidores completamente desatualizados.
Uma falha no kernel do Linux, conhecida como Dirty Cow, permitia que um usuário comum obtivesse permissões de ROOT e ficou sem correção entre 2007 e 2016.
Ransomware invade servidores Linux e tira sites do ar: como fica a situação
Agora é preciso pagar o resgate pelos dados.
Depois de muito negociar o valor final ficou em 1,2 bilhão de wons (R$ 3,5 milhões), pagos em três parcelas conforme os servidores vão sendo recuperados.
Até o momento duas parcelas foram pagas.
A terceira parcela somente será paga quando alguns servidores MySQL com problemas sejam restaurados.
Este valor foi um verdadeiro recorde para um ransomware.
Ransomware invade servidores Linux e tira sites do ar: como evitar
Assim como o WannaCry, o Erebus se aproveitou de maquinas desatualizadas.
Para evitar basta deixar sempre o seu ambiente atualizado, principalmente patches de segurança.
Também faça backups periódicos para o caso de uma possível infecção, vai que tudo falha.
Dados sensíveis precisam ser criptografados antes de serem salvos em disco, assim em caso de roubo, além do backup restaurar seus arquivos o atacando não vai conseguir “ler” seus dados sensíveis.
Nunca é demais se precaver.
