C'è un nuovo ransomware chiamato NextCry che è attualmente di mira gli utenti NextCloud. NextCloud è una suite di software client-server per la creazione e l'utilizzo di file di servizi di hosting.
Quando fu osservata la prima volta nel selvaggio, NextCry non è stato rilevato da uno dei motori antivirus di VirusTotal. Al momento è stato scritto questo articolo, il ransomware è rilevato da 7 motori, compresi FireEye, TrendMicro, Bitdefender, DrWeb, e Kaspersky. Diversi antivirus sono attualmente in grado di elaborare il file dannoso caricato.
NextCry ransomware - Panoramica tecnica
Secondo il ricercatore di sicurezza Michael Gillespie, il ransomware è una nuova minaccia che utilizza Base64 per crittografare i nomi dei file. È interessante notare che il ransomware cifra anche il contenuto del file crittografato, dopo che è stato crittografato.
Secondo i ricercatori BC, NextCry è uno script Python compilato in un binario Linux LF con l'aiuto di pyInstaller. La sua richiesta di riscatto si trova in un file denominato READ_FOR_DECRYPT. La nota dice che i file dell'utente vengono crittografati con gli algoritmi di crittografia AES con una chiave a 256 bit. Michael Gillespie è stato in grado di confermare l'uso di AES-256, e che la chiave stessa è codificata tramite RSA a 2048-chiave pubblica, che è incorporato nel codice ransomware.
I ricercatori di sicurezza sono stati anche in grado di determinare che, finora, il ransomware NextCry si rivolge solo servizi NextCloud e utenti. Al momento dell'esecuzione, il malware sarà individuare NextCloud directory di condivisione di file e dati di sincronizzazione della vittima leggendo il file config.php. Poi, sarà eliminare le cartelle che potenzialmente potrebbero essere utilizzati per ripristinare i file. Il passo successivo è la crittografia di tutti i file che si trovano nella directory dei dati.
Alla fine di ottobre, NextCloud rilasciato una “problema di sicurezza urgente Nginx / php-fpm". L'advisory di sicurezza ha detto che un rischio è emerso intorno Nginx, documentata in CVE-2.019-11.043.
Questo exploit consente l'esecuzione di codice remoto su alcuni NGINX e configurazioni php-FPM. Un pubblico exploit per CVE-2.019-11.043 è disponibile in natura, e apparentemente è stato sfruttato in attacchi contro server vulnerabili. Gli amministratori devono aggiornare i loro pacchetti PHP e file di configurazione Nginx allo sfruttamento evitano.
NextCloud sta attualmente indagando i incidenti di sicurezza.