Ransomware sui server: azienda paga 1 milione di dollari

Giu 21, 2017 Marco Schiaffino Attacchi, Gestione dati, Malware, News, RSS 0

La vittima è Nayana, una società coreana che si occupa di Web Hosting. Colpite 153 macchine Linux con i dati dei clienti. Ma il recupero non è facile…

Finire vittima di un ransomware è una brutta esperienza e, naturalmente, le cose vanno ancora peggio quando a subire l’attacco è un’azienda. Nel caso di Nayana, una società con sede nella Corea del Sud, l’azione dei pirati informatici ha provocato un vero disastro.

Nayana si occupa infatti di Web Hosting e in seguito all’azione dei cyber-criminali si è trovata con la bellezza di 153 server messi K.O. da un ransomware che ha crittografato tutti i file memorizzati al loro interno. Ora l’azienda ha deciso di cedere al ricatto e pagare il riscatto di 1 milione di dollari chiesto dai pirati.

Stando ai comunicati dell’azienda e alla ricostruzione fornita da Trend Micro, l’attacco è avvenuto il 10 giugno scorso e ha sfruttato una versione del ransomware Elferebus modificata per funzionare sui sistemi Linux.

Elferebus è stato individuato lo scorso settembre e veniva distribuito attraverso l’Exploit Kit Rig. La versione modificata, però, sfrutta un sistema di crittografia più evoluto del suo “cugino” per Windows, eseguendo una prima cifratura dei file utilizzando una chiave AES (più veloce) e una successiva codifica delle chiavi AES utilizzando RSA.

Un sistema a doppia cifratura utilizzato anche da altri ransomware e che lascia poche speranze alla vittima di poter interrompere il processo in tempo o recuperare i file scardinando il sistema di cifratura.

Dalle parti di Nayana, quindi, si sono trovati a fronteggiare un blocco totale dell’attività e una richiesta iniziale di riscatto di 1,65 milioni di dollari, che dopo qualche contrattazione è stata portata a 1 milione tondo da pagare, naturalmente, in Bitcoin.

La veste grafica non è certo delle più elegante ne abbiamo viste di molto più elaborate. In questo caso però non c’è bisogno di tanti fronzoli per convincere la vittima a pagare.

Secondo i ricercatori di Trend Micro, l’attacco potrebbe avere sfruttato una vulnerabilità dei sistemi della società coreana. I server, infatti, utilizzerebbero software non aggiornato. In particolare girerebbero con una versione del Kernel di Linux vecchiotta (2.6.24.2) vulnerabile all’attacco Dirty Cow, che è stato reso pubblico nell’ottobre 2016 e corretto nella nuova versione del Kernel.

Come se non bastasse, l’azienda usa Apache 1.3.36 e PHP 5.1.4, tutta roba del 2006 e che notoriamente offre il fianco a numerosi exploit. Insomma: di clamoroso, in questo caso, non c’è solo l’entità del riscatto richiesto ma anche l’imperizia e la superficialità degli amministratori di sistema.

Nayana sta pagando il riscatto in tre “rate” e, stando alle comunicazioni comparse sul suo servizio clienti, avrebbe avviato la procedura per il recupero dei dati. Non senza qualche difficoltà. La decrittazione dei dati, infatti, starebbe creando errori nei database e le operazioni sono ancora in corso.

È probabile, in definitiva, che le perdite maggiori per l’azienda non saranno tanto quelle legate al pagamento del riscatto, quanto alla perdita di clienti.

Condividi l'articolo