C'è un nuovo ransomware chiamato NextCry che è attualmente di mira gli utenti NextCloud. NextCloud è una suite di software client-server per la creazione e l'utilizzo di file di servizi di hosting.
Quando fu osservata la prima volta nel selvaggio, NextCry non è stato rilevato da uno dei motori antivirus di VirusTotal. Al momento è stato scritto questo articolo, il ransomware è rilevato da 7 motori, compresi FireEye, TrendMicro, Bitdefender, DrWeb, e Kaspersky. Diversi antivirus sono attualmente in grado di elaborare il file dannoso caricato.
NextCry ransomware - Panoramica tecnica
Secondo il ricercatore di sicurezza Michael Gillespie, il ransomware è una nuova minaccia che utilizza Base64 per crittografare i nomi dei file. È interessante notare che il ransomware cifra anche il contenuto del file crittografato, dopo che è stato crittografato.
Secondo i ricercatori BC, NextCry è uno script Python compilato in un binario Linux LF con l'aiuto di pyInstaller. La sua richiesta di riscatto si trova in un file denominato READ_FOR_DECRYPT. La nota dice che i file dell'utente vengono crittografati con gli algoritmi di crittografia AES con una chiave a 256 bit. Michael Gillespie è stato in grado di confermare l'uso di AES-256, e che la chiave stessa è codificata tramite RSA a 2048-chiave pubblica, che è incorporato nel codice ransomware.
I ricercatori di sicurezza sono stati anche in grado di determinare che, finora, il ransomware NextCry si rivolge solo servizi NextCloud e utenti. Al momento dell'esecuzione, il malware sarà individuare NextCloud directory di condivisione di file e dati di sincronizzazione della vittima leggendo il file config.php. Poi, sarà eliminare le cartelle che potenzialmente potrebbero essere utilizzati per ripristinare i file. Il passo successivo è la crittografia di tutti i file che si trovano nella directory dei dati.
Alla fine di ottobre, NextCloud rilasciato una “problema di sicurezza urgente Nginx / php-fpm". L'advisory di sicurezza ha detto che un rischio è emerso intorno Nginx, documentata in CVE-2.019-11.043.
Questo exploit consente l'esecuzione di codice remoto su alcuni NGINX e configurazioni php-FPM. Un pubblico exploit per CVE-2.019-11.043 è disponibile in natura, e apparentemente è stato sfruttato in attacchi contro server vulnerabili. Gli amministratori devono aggiornare i loro pacchetti PHP e file di configurazione Nginx allo sfruttamento evitano.
NextCloud sta attualmente indagando i incidenti di sicurezza.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: