Início / Notícias / Antivírus e Segurança /

Ransomware para Linux sequestra servidores e pede resgate de R$ 3,5 milhões

Mais de 3,4 mil sites foram tirados do ar por ransomware que afetou empresa coreana

Paulo Higa

Por

Notícia
Achados do TB Achados do TB

As melhores ofertas,
sem rabo preso 💰

Estamos realmente passando por uma epidemia de ransomware: depois do WannaCry se espalhar pelo mundo, forçando a Microsoft a atualizar até o Windows XP, uma empresa de hospedagem de sites da Coreia do Sul teve seus arquivos sequestrados por um malware desenvolvido para Linux. A praga afetou 153 servidores e tirou do ar mais de 3,4 mil sites de clientes.

O ransomware em questão é o Erebus, que foi originalmente criado para Windows, mas recebeu modificações para funcionar no Linux. Ele atacou a Nayana Internet no dia 12 de junho e, inicialmente, pedia 5 bilhões de wons (aproximadamente R$ 14,5 milhões) em bitcoins para recuperar os dados. Depois de negociações com os criminosos, o valor do resgate caiu para 1,2 bilhão de wons (R$ 3,5 milhões).

Não se sabe como o Erebus atacou os servidores, mas a Trend Micro especula que o ransomware se aproveitou de algum exploit no kernel, no Apache ou no PHP, que estão desatualizados na Nayana: a versão do PHP é a 5.1.4, lançada em 2006. Uma falha no kernel do Linux, conhecida como Dirty Cow, permitia que um usuário comum obtivesse permissões de root e ficou sem correção entre 2007 e 2016.

O ransomware criptografa os dados do servidor e cria um arquivo chamado _DECRYPT_FILE.txt com as instruções de recuperação e um código de identificação da máquina sequestrada. Aparentemente, a variante do Erebus foi pensada para servidores web, já que afeta o diretório /var/www (onde normalmente são guardados os arquivos dos sites) e os arquivos ibdata, do banco de dados MySQL.

O resgate será pago em três parcelas, à medida que a Nayana consegue recuperar os arquivos. Duas já foram pagas, mas a empresa ainda está tendo problemas com alguns servidores de banco de dados; a última deve ser acertada somente quando essas máquinas voltarem a funcionar. O valor pode ser um recorde: mesmo o WannaCry só arrecadou R$ 170 mil em um final de semana.