usuários e administradores Linux são aconselhados a estar vigilante quanto a notícia quebrou de um ransomware perigoso alvejando-los. É chamado de Lucky ransomware e é implantado em uma campanha de ataque global apresentando comportamento típico de criptografia de arquivos como as inúmeras variantes conhecidas para Windows. A ameaça pode infectar automaticamente outros hosts e, assim, derrubar redes inteiras em um curto espaço de tempo.
Lucky Ransomware age como “satã” Para Windows
O Lucky ransomware é a mais nova ameaça voltada para servidores Linux, detalhes sobre seu surto foram publicados em um anúncio por uma equipe de pesquisadores. Os especialistas observam que ele segue de perto o comportamento de ameaças baseadas no Windows desse tipo. A campanha de ataque em andamento mostra que essa prática bem-sucedida foi transportada para sistemas Linux.
A análise do código-fonte e modo de propagação mostra que é multiplataforma, o que significa que atualizações futuras podem realmente ser usadas em máquinas Windows também se compiladas para o sistema operacional da Microsoft. De acordo com a análise, é muito semelhante ao ransomware Satan usado para infectar máquinas Windows.
Para infectar as máquinas alvo, o Lucky ransomware usa uma série de vulnerabilidades:
- CVE-2013-4810 - Esta é uma série de exploits que são identificados no HP ProCurve Manager (PCM) 3.20 e 4.0, PCM + 3.20 e 4.0, Identity Driven Manager (IDM) 4.0, e Application Lifecycle Management, permitindo que invasores executem códigos arbitrários.
- CVE-2010-0738 - Este é um problema descoberto no aplicativo da web JMX-Console em JBossAs no Red Hat JBoss Enterprise Application Platform (também conhecido como JBoss EAP ou JBEAP) 4.2 antes de 4.2.0.CP09 e 4.3 antes de 4.3.0.CP08 que realiza controle de acesso apenas para métodos GET e POST. Isso efetivamente permite que usuários mal-intencionados realizem ataques remotamente.
- CVE-2017-12615 - Ao executar o Apache Tomcat 7.0.0 para 7.0.79 no Windows com HTTP PUTs habilitados (por exemplo. através da configuração do parâmetro de inicialização somente leitura do padrão para falso) foi possível fazer upload de um arquivo JSP para o servidor por meio de uma solicitação especialmente criada. Este JSP poderia então ser solicitado e qualquer código nele contido seria executado pelo servidor.
- Um ataque de força bruta de senhas de login do console de administrador da web do Tomcat que permite acesso ao serviço.
- CVE-2017-10271 - Esta é uma vulnerabilidade no componente do servidor Oracle WebLogic: As versões suportadas que são afetados são 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 e 12.2.1.2.0. As intrusões podem resultar na aquisição do servidor.
- MS17-010 - Este é um patch que foi lançado para versões mais recentes do Windows, reduzindo infecções por ransomware WannaCry. Nós escrevemos um [wplinkpreview url =”https://sensorstechforum.com/top-5-wannacry-ransomware-mitigations/”]artigo detalhado sobre isso.
- Apache Struts 2 Explorações da estrutura de aplicativos da Web - Este é o grande e [wplinkpreview url =”https://sensorstechforum.com/cve-2017-5638-patched-attack/”]conhecido incidente de segurança que englobava vários servidores da web em todo o mundo. Um patch foi lançado em março 2017 no entanto, isso não parou os ataques.
Assim que os hosts forem comprometidos, o script de infecção implantará o ransomware automaticamente.
Operação Lucky Ransomware: O Processo de Infecção
Assim que o módulo de ransomware for iniciado, ele começará a criptografar os arquivos de dados do usuário. A primeira ação que faz é ler o /tmp / Ssession Arquivo. Ele contém informações sobre a atividade temporária usada por vários componentes do servidor (geralmente serviços da web). Uma prática padrão é definir uma data de validade para eles. Quando eles forem lidos pelo mecanismo de infecção, ele mostrará ao vírus os dados acessados no período definido.
Os arquivos de sistema listados serão processados pelo mecanismo de criptografia e renomeado com a extensão .lucky. A análise do código-fonte mostra que também está disponível uma lista de exceções que ignora localizações importantes do sistema. Se eles forem afetados, o sistema pode parar de funcionar completamente. Os dados de destino foram identificados para incluir as seguintes extensões de arquivo:
atrás, fecho eclair, sql, mdf, ldf, mundo, vendido, dmp, xls, doutor,
TXT, ppt, csv, rtf, pdf, db, VDI, vmdk, vmx, leva,
gz, estab, pfx, cer e psf
Uma nota de ransomware é gerada em um arquivo chamado _How_To_Decrypt_My_File_.txt onde se lê a seguinte mensagem:
Desculpe te dizer.
Alguns arquivos criptografaram
se você quiser seus arquivos de volta , mandar 1 bitcoin para minha carteira
o endereço da minha carteira: 3HCBsZ6QQTnSsthbmVtYE4XSZtism4j7qd
Se você tiver quaisquer perguntas, Por favor, entre em contato conosco.
O email: nmare@cock.li
Uma característica interessante é que esta nota de ransomware também é colocada no MOTD (mensagem do Dia) que é mostrado a todos os usuários que fazem login na máquina Linux. Quando a criptografia estiver concluída, o módulo irá procurar outros hosts localizados na rede local e tentar infectá-los.
Se o ransomware Lucky for bem-sucedido em suas táticas de infecção, prevemos que uma versão baseada no Windows pode ser desenvolvida. Como seu comportamento é baseado em Satan, esperamos que ele siga o mesmo RaaS (ransomware-as-a-service) modelo.