Hay un nuevo ransomware llamada NextCry que actualmente se dirige a los usuarios NextCloud. NextCloud es un paquete de software cliente-servidor para la creación y uso de archivos de servicios de alojamiento.
Cuando se observó por primera vez en el medio natural, NextCry no fue detectado por cualquiera de antivirus de VirusTotal. En el momento se está escribiendo este artículo, el ransomware es detectado por 7 motores, incluyendo FireEye, TrendMicro, Bitdefender, DrWeb, y Kaspersky. Varios antivirus son actualmente incapaces de procesar el archivo malicioso cargado.
NextCry ransomware - Descripción técnica general
De acuerdo con el investigador de seguridad Michael Gillespie, el ransomware es una nueva amenaza que utiliza base 64 para cifrar los nombres de archivo. Es de destacar que el ransomware también cifra el contenido del archivo cifrado, después de que ha sido cifrado.
Según los investigadores BC, NextCry es un script en Python compilado en un binario Linux LF con la ayuda de PyInstaller. Su nota de rescate se encuentra en un archivo llamado READ_FOR_DECRYPT. La nota dice que los archivos del usuario se cifran con los algoritmos de cifrado AES con una clave de 256 bits. Michael Gillespie pudo confirmar el uso de AES-256, y que la clave está encriptada a través de RSA-2048 de clave pública, que está incrustado en el código ransomware.
Los investigadores de seguridad también fueron capaces de determinar que, hasta aquí, el ransomware NextCry solamente se dirige a los servicios y los usuarios NextCloud. Tras la ejecución, el malware será localizar el directorio compartido de archivos y datos de sincronización NextCloud de la víctima mediante la lectura de la archivo config.php. Entonces, será eliminar las carpetas que podrían utilizarse para restaurar los archivos. El siguiente paso es el cifrado de todos los archivos que se encuentran en el directorio de datos.
A finales de octubre, NextCloud publicó un “urgente problema de seguridad en Nginx / php-FPM". El aviso de seguridad dijo que un riesgo surgió alrededor Nginx, documentada en CVE-2019 a 11.043.
Esta vulnerabilidad permite la ejecución remota de código en algún Nginx y configuraciones php-fpm. Un exploit público de CVE-2019 hasta 11043 está disponible en la naturaleza, y al parecer se ha aprovechado en los ataques contra servidores vulnerables. Los administradores deben actualizar sus paquetes de PHP y archivo de configuración de Nginx a la explotación evitar.
NextCloud está investigando los incidentes de seguridad.