Er is een nieuwe ransomware genoemd NextCry die momenteel NextCloud gebruikers is gericht. NextCloud is een suite van client-server software voor het maken en gebruiken van file hosting services.
Toen het eerst waargenomen in het wild, NextCry werd niet gedetecteerd door een van VirusTotal antivirus engines. Op het moment dat dit artikel wordt geschreven, het is ransomware gedetecteerd door 7 motoren, Inclusief FireEye, TrendMicro, Bitdefender, DrWeb, en Kaspersky. Verschillende antivirus-engines zijn momenteel niet in staat om het geüploade kwaadaardige bestand te verwerken.
NextCry Ransomware - Technisch overzicht
Volgens security-onderzoeker Michael Gillespie, de ransomware is een nieuwe bedreiging die Base64 gebruikt om de bestandsnamen te versleutelen. Het is opmerkelijk dat de ransomware versleutelt ook de inhoud van het gecodeerde bestand, nadat deze is gecodeerd.
Volgens BC onderzoekers, NextCry is een Python-script gecompileerd in een Linux-LF binary met de hulp van pyInstaller. Het losgeld nota is gevestigd in een bestand genaamd READ_FOR_DECRYPT. De notitie zegt dat bestanden van de gebruiker zijn gecodeerd met de AES-encryptie-algoritmen met behulp van een 256-bits sleutel. Michael Gillespie was in staat om het gebruik van AES-256 te bevestigen, en dat de sleutel zelf wordt versleuteld via RSA-2048 publieke sleutel, die is ingebed in de ransomware code.
Beveiliging onderzoekers waren ook in staat om vast te stellen dat, dusver, de NextCry ransomware is alleen gericht NextCloud diensten en gebruikers. Bij uitvoering, de malware zal het slachtoffer NextCloud het delen van bestanden en synchroniseren van gegevens directory vinden door het lezen van de config.php. Dan, het zal mappen die zouden kunnen worden gebruikt om bestanden te herstellen verwijderen. De volgende stap is de versleuteling van alle bestanden die zich in de data-directory.
Eind oktober, NextCloud vrijgegeven een “Dringende beveiligingsprobleem in NGINX / php-fpm". Het beveiligingsadvies gezegd dat een risico ontstond rond NGINX, gedocumenteerd in CVE-2019-11.043.
Deze exploit maakt externe code op sommige NGINX en php-fpm configuraties. Een openbare exploiteren voor CVE-2019-11.043 is beschikbaar in het wild, en blijkbaar heeft men leveraged in aanvallen op kwetsbare servers. Beheerders moeten hun PHP pakketten en NGINX configuratiebestand te vermijden exploitatie updaten.
NextCloud onderzoekt momenteel de beveiligingsincidenten.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: