Der er en ny ransomware kaldet NextCry som i øjeblikket rettet mod NextCloud brugere. NextCloud er en suite af klient-server-software til at oprette og bruge fil-hosting-tjenester.
Da det først blev observeret i naturen, NextCry blev ikke opdaget af nogen af VirusTotal s antivirus-motorer. På det tidspunkt denne artikel bliver skrevet, den ransomware er opdaget ved 7 motorer, Herunder FireEye, TrendMicro, Bitdefender, DrWeb, og Kaspersky. Flere antivirus motorer er i øjeblikket ude af stand til at behandle den uploadede skadelig fil.
NextCry Ransomware - Teknisk oversigt
Ifølge sikkerhedsekspert Michael Gillespie, den ransomware er en ny trussel, der bruger Base64 at kryptere filnavnene. Det er bemærkelsesværdigt, at ransomware også krypterer indholdet af den krypterede fil, efter at den er krypteret.
Ifølge BC forskere, NextCry er et Python-script samlet i en Linux LF binær med hjælp fra pyInstaller. Dens løsesum notat er beliggende i en fil kaldet READ_FOR_DECRYPT. Noten siger, at brugerens filer er krypteret med AES krypteringsalgoritmer ved hjælp af en 256-bit nøgle. Michael Gillespie var i stand til at bekræfte brugen af AES-256, og at selve nøglen er krypteret via RSA-2048 offentlige nøgle, der er indlejret i ransomware kode.
Sikkerhed forskere var også i stand til at fastslå, at, indtil nu, den NextCry ransomware er kun rettet mod NextCloud tjenester og brugere. Ved udførelse, malware vil finde ofrets NextCloud fildeling og synkronisering af data mappe ved at læse config.php fil. Derefter, det vil slette mapper, der potentielt kan bruges til at gendanne filer. Det næste skridt er kryptering af alle de filer, der ligger i data mappen.
I slutningen af oktober, NextCloud udgivet en ”Presserende sikkerhedsproblem i Nginx / php-fpm". Sikkerheden rådgivende sagde, at en risiko opstået omkring Nginx, dokumenteret i CVE-2019-11.043.
Denne exploit tillader ekstern kode på nogle Nginx og php fpm konfigurationer. En offentlig udnytte til CVE-2019-11.043 er tilgængelig i naturen, og tilsyneladende er det blevet gearede i angreb på sårbare servere. Administratorer bør opdatere deres PHP pakker og Nginx konfigurationsfil for at undgå udnyttelse.
NextCloud undersøger i øjeblikket de sikkerhedshændelser.