Ransomware para Linux sequestra servidores e pede resgate de R$ 3,5 milhões

Mais de 3,4 mil sites foram tirados do ar por ransomware que afetou empresa coreana

Paulo Higa
Por
• Atualizado há 7 meses

Estamos realmente passando por uma epidemia de ransomware: depois do WannaCry se espalhar pelo mundo, forçando a Microsoft a atualizar até o Windows XP, uma empresa de hospedagem de sites da Coreia do Sul teve seus arquivos sequestrados por um malware desenvolvido para Linux. A praga afetou 153 servidores e tirou do ar mais de 3,4 mil sites de clientes.

O ransomware em questão é o Erebus, que foi originalmente criado para Windows, mas recebeu modificações para funcionar no Linux. Ele atacou a Nayana Internet no dia 12 de junho e, inicialmente, pedia 5 bilhões de wons (aproximadamente R$ 14,5 milhões) em bitcoins para recuperar os dados. Depois de negociações com os criminosos, o valor do resgate caiu para 1,2 bilhão de wons (R$ 3,5 milhões).

Não se sabe como o Erebus atacou os servidores, mas a Trend Micro especula que o ransomware se aproveitou de algum exploit no kernel, no Apache ou no PHP, que estão desatualizados na Nayana: a versão do PHP é a 5.1.4, lançada em 2006. Uma falha no kernel do Linux, conhecida como Dirty Cow, permitia que um usuário comum obtivesse permissões de root e ficou sem correção entre 2007 e 2016.

O ransomware criptografa os dados do servidor e cria um arquivo chamado _DECRYPT_FILE.txt com as instruções de recuperação e um código de identificação da máquina sequestrada. Aparentemente, a variante do Erebus foi pensada para servidores web, já que afeta o diretório /var/www (onde normalmente são guardados os arquivos dos sites) e os arquivos ibdata, do banco de dados MySQL.

O resgate será pago em três parcelas, à medida que a Nayana consegue recuperar os arquivos. Duas já foram pagas, mas a empresa ainda está tendo problemas com alguns servidores de banco de dados; a última deve ser acertada somente quando essas máquinas voltarem a funcionar. O valor pode ser um recorde: mesmo o WannaCry só arrecadou R$ 170 mil em um final de semana.

Receba mais sobre Linux na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Paulo Higa

Paulo Higa

Ex-editor executivo

Paulo Higa é jornalista com MBA em Gestão pela FGV e uma década de experiência na cobertura de tecnologia. No Tecnoblog, atuou como editor-executivo e head de operações entre 2012 e 2023. Viajou para mais de 10 países para acompanhar eventos da indústria e já publicou 400 reviews de celulares, TVs e computadores. Foi coapresentador do Tecnocast e usa a desculpa de ser maratonista para testar wearables que ainda nem chegaram ao Brasil.

Canal Exclusivo

Relacionados

Como recuperar arquivos encriptados por ransomware
Como recuperar arquivos encriptados por ransomware
Microsoft corrige falha do Windows usada em ataques de ransomware
Microsoft corrige falha do Windows usada em ataques de ransomware
Ransomware: a mina de ouro dos hackers, o pesadelo das organizações
Ransomware: a mina de ouro dos hackers, o pesadelo das organizações
Grupo hacker afirma que sequestrou dados da TSMC através de ataque contra fornecedora
Grupo hacker afirma que sequestrou dados da TSMC através de ataque contra fornecedora
O que é Linux? [Guia para iniciantes]
O que é Linux? [Guia para iniciantes]
Gerador de ransomware do LockBit é vazado por membro irritado com o grupo
Gerador de ransomware do LockBit é vazado por membro irritado com o grupo
Sites do REvil, ransomware que atacou JBS e outras empresas, voltam ao ar
Sites do REvil, ransomware que atacou JBS e outras empresas, voltam ao ar
EUA preparam sanções para combater resgates de ransomware com criptomoedas
EUA preparam sanções para combater resgates de ransomware com criptomoedas
Grupo de ransomware volta atrás e dá solução contra ataque à polícia nos EUA
Grupo de ransomware volta atrás e dá solução contra ataque à polícia nos EUA
Afinal, a distro SUSE Linux é paga ou gratuita?
Afinal, a distro SUSE Linux é paga ou gratuita?