Novo NextCry Ransomware criptografa dados em servidores Linux com NextCloud

Um novo ransomware foi encontrado na natureza que atualmente não é detectado pelos mecanismos antivírus nas plataformas de verificação pública. Seu nome é NextCry devido à extensão anexada aos arquivos criptografados e direcionada aos clientes do serviço de sincronização e compartilhamento de arquivos NextCloud.

O malware tem como alvo instâncias Nextcloud e, por enquanto, não existe uma ferramenta de descriptografia gratuita disponível para as vítimas.

Detecção zero

xact64, um usuário do Nextcloud, postou no fórum alguns detalhes sobre o malware, na tentativa de encontrar uma maneira de descriptografar arquivos pessoais.

Embora seu sistema tenha sido copiado, o processo de sincronização começou a atualizar arquivos em um laptop com sua versão criptografada no servidor. Ele entrou em ação no momento em que viu os arquivos renomeados, mas alguns deles ainda foram processados ​​pelo NextCry, também conhecido como Next-Cry.

“Percebi imediatamente que meu servidor foi hackeado e esses arquivos foram criptografados. A primeira coisa que fiz foi puxar o servidor para limitar o dano que estava sendo causado (apenas 50% dos meus arquivos foram criptografados) ”

xact64

Olhando para o binário do malware, Michael Gillespie disse que a ameaça parece nova e apontou que o ransomware NextCry usa o Base64 para codificar os nomes dos arquivos. O mais estranho é que o conteúdo de um arquivo criptografado também é codificado dessa maneira, após ser criptografado pela primeira vez.

O malware não foi enviado ao serviço ID Ransomware antes, mas alguns detalhes estão disponíveis.

Em análise do ransomware, foi descoberto que o NextCry é um script Python compilado em um binário Linux ELF usando pyInstaller. No momento da redação deste documento, nenhum mecanismo antivírus na plataforma de verificação VirusTotal o detecta.

Servidores Nexcloud direcionados

A nota de resgate está em um arquivo chamado “READ_FOR_DECRYPT”, informando que os dados são criptografados com o algoritmo AES com uma chave de 256 bits. Gillespie confirmou que o AES‌-256 é usado e que a chave é criptografada com uma chave pública RSA-2048 incorporada no código do malware.

Na amostra analisada, o resgate exigido é de BTC 0,025, que é convertido em cerca de US $ 210 no momento da redação. Uma carteira de bitcoin é fornecida, mas nenhuma transação foi registrada até agora.

Depois que outro membro chamado shuum extraiu com êxito o script Python compilado, conseguimos ver claramente que esse ransomware visa especificamente os serviços NextCloud.

Quando executado, o ransomware encontra primeiro o diretório de compartilhamento de arquivos e sincronização de arquivos NextCloud da vítima, lendo o arquivo config.php do serviço. Em seguida, ele excluirá algumas pastas que podem ser usadas para restaurar arquivos e, em seguida, criptografará todos os arquivos no diretório de dados.

Mais de um caso detectado

Outro usuário do Nexcloud chamado Alex postou na página de suporte da plataforma sobre ser atingido pelo ransomware NextCry. Eles dizem que o acesso à sua instância foi bloqueado via SSH e executou a versão mais recente do software, sugerindo que alguma vulnerabilidade foi explorada para entrar.

Em uma conversa, o xact64 disse que a instalação do Nextcloud é executada em um computador Linux antigo com o NGINX. Esse detalhe pode fornecer a resposta de como o invasor conseguiu acessar.

“Eu tenho meu próprio servidor linux (um thin client antigo que forneci uma segunda vida) com proxy reverso nginx” – xact64

Em 24 de outubro, o Nextcloud lançou um alerta urgente sobre uma vulnerabilidade de execução remota de código que afeta a configuração padrão do Nextcloud NGINX.

Controlada como CVE-2019-11043, a falha está no componente PHP-FPM (FastCGI Process Manager), incluído por alguns provedores de hospedagem como o Nextcloud em sua configuração padrão. Existe uma exploração pública  e foi aproveitada para servidores comprometidos.

A recomendação do Nextcloud para administradores é atualizar os pacotes PHP e o arquivo de configuração do NGINX para a versão mais recente.

Um representante da Nextcloud disse que eles estão investigando os incidentes e fornecerão mais informações assim que estiverem disponíveis.

Atualização 18/11/19: O NextCloud disse que, após conduzir uma investigação, eles estão confiantes de que o invasor está explorando a vulnerabilidade do PHP-FPM na qual emitiu um aviso.

Estivemos analisando os relatórios no fórum e na fonte do vírus. Estamos confiantes de que o vetor de ataque foi o problema de segurança nginx + php-fpm que chegou à Web há algum tempo.

Embora não tenha sido um problema no próprio Nextcloud, informamos nossos usuários através de todos os canais que tínhamos disponíveis, incluindo uma notificação direta aos servidores Nextcloud. Isso provavelmente explica por que tão poucos servidores foram impactados dentre as centenas de milhares de servidores Nextcloud na web.

A Delta Servers aconselha os usuários a atualizar para o PHP 7.3.11 ou PHP 7.2.24, dependendo do ramo de desenvolvimento que está sendo usado, para corrigir esta vulnerabilidade.

Caso seu servidor de hospedagem não tenha suporte para essas versões do PHP, nos visite em: www.deltaservers.com.br para saber mais sobre os nossos serviços.

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.