Một ransomware mới đã được tìm thấy trong tự nhiên hiện không bị phát hiện bởi các công cụ chống vi-rút trên các nền tảng quét công cộng. Tên của nó là NextCry do tiện ích mở rộng được gắn vào các tệp được mã hóa và nó nhắm mục tiêu đến các máy khách của dịch vụ chia sẻ và đồng bộ hóa tệp NextCloud.
Phần mềm độc hại nhắm vào các phiên bản Nextcloud và hiện tại không có công cụ giải mã miễn phí nào dành cho nạn nhân.
Không phát hiện
xact64, một người dùng Nextcloud, đã đăng trên diễn đàn BleepingComputer một số chi tiết về phần mềm độc hại trong nỗ lực tìm cách giải mã các tệp cá nhân.
Mặc dù hệ thống của anh đã được sao lưu, quá trình đồng bộ hóa đã bắt đầu cập nhật các tệp trên máy tính xách tay với phiên bản được mã hóa của chúng trên máy chủ. Anh ta hành động ngay khi thấy các tập tin được đổi tên nhưng một số trong số chúng vẫn được NextCry xử lý, còn được gọi là Next-Cry.
Tôi nhận ra ngay lập tức rằng máy chủ của tôi đã bị hack và những tập tin đó đã được mã hóa. Điều đầu tiên tôi làm là kéo máy chủ để hạn chế thiệt hại đã được thực hiện (chỉ 50% các tệp của tôi được mã hóa), – xact64
Nhìn vào nhị phân phần mềm độc hại, Michael Gillespie nói rằng mối đe dọa có vẻ mới và chỉ ra ransomware NextCry sử dụng Base64 để mã hóa tên tệp. Phần kỳ lạ là nội dung của tệp được mã hóa cũng được mã hóa theo cách này, sau lần đầu tiên được mã hóa.
Phần mềm độc hại chưa được gửi đến Ransomware ID dịch vụ trước nhưng một số chi tiết có sẵn.
BleepingComputer đã phát hiện ra rằng NextCry là một tập lệnh Python được biên dịch trong tệp nhị phân ELF của Linux bằng pyInstaller. Tại thời điểm viết bài, không có một công cụ chống vi-rút nào trên nền tảng quét VirusTotal phát hiện nó
Máy chủ Nexcloud được nhắm mục tiêu
Ghi chú tiền chuộc nằm trong một tệp có tên là READ READ_FOR_DECRYPT, nói rằng dữ liệu được mã hóa bằng thuật toán AES với khóa 256 bit. Gillespie xác nhận rằng AES-256 được sử dụng và khóa được mã hóa bằng khóa chung RSA-2048 được nhúng trong mã phần mềm độc hại.
Trong mẫu được phân tích, tiền chuộc yêu cầu là BTC 00,25, chuyển đổi thành khoảng 210 đô la tại thời điểm viết. Một ví bitcoin được cung cấp nhưng cho đến nay không có giao dịch nào được ghi nhận.
Sau khi một thành viên BleepingComputer khác có tên shuum trích xuất thành công tập lệnh Python đã biên dịch, BleepingComputer có thể thấy rõ rằng phần mềm ransomware này đặc biệt nhắm mục tiêu các dịch vụ NextCloud.
Khi được thực thi, ransomware trước tiên sẽ tìm thấy thư mục dữ liệu chia sẻ và đồng bộ hóa tệp NextCloud của nạn nhân bằng cách đọc tệp config.php của dịch vụ. Sau đó nó sẽ xóa một số thư mục có thể được sử dụng để khôi phục tệp và sau đó mã hóa tất cả các tệp trong thư mục dữ liệu.
Nhiều hơn một trường hợp phát hiện
Một người dùng Nexcloud khác tên Alex đăng trên trang hỗ trợ nền tảng về việc bị tấn công bởi ransomware NextCry. Họ nói rằng quyền truy cập vào thể hiện của họ đã bị khóa thông qua SSH và chạy phiên bản phần mềm mới nhất, cho thấy rằng một số lỗ hổng đã bị khai thác để xâm nhập.
Trong một cuộc trò chuyện với BleepingComputer xact64 nói rằng bản cài đặt Nextcloud của họ chạy trên một máy tính Linux cũ có NGINX. Chi tiết này có thể cung cấp câu trả lời cho cách kẻ tấn công có thể truy cập.
Tôi có một máy chủ linux của riêng mình (một máy khách mỏng cũ tôi đã có một cuộc sống thứ hai) với proxy ngược nginx – xact64
Vào ngày 24 tháng 10, Nextcloud đã phát hành một cảnh báo khẩn cấp về một lỗ hổng thực thi mã từ xa ảnh hưởng đến cấu hình NGINX mặc định của Nextcloud.
Được theo dõi dưới dạng CVE-2019-11043, lỗ hổng nằm trong thành phần PHP-FPM (FastCGI Process Manager), được bao gồm bởi một số nhà cung cấp dịch vụ lưu trữ như Nextcloud trong thiết lập mặc định của họ. Một khai thác công khai tồn tại và đã được tận dụng cho các máy chủ bị xâm nhập.
Khuyến cáo của Nextcloud cho các quản trị viên là nâng cấp các gói PHP và tệp cấu hình NGINX của họ lên phiên bản mới nhất.
Đại diện của Nextcloud nói với BleepingComputer rằng họ hiện đang điều tra các sự cố và sẽ cung cấp thêm thông tin khi có sẵn.
Cập nhật 18/11/19: NextCloud đã nói với BleepingComputer rằng sau khi tiến hành điều tra, họ tin tưởng rằng kẻ tấn công đang khai thác lỗ hổng PHP -FPM mà họ đưa ra một lời khuyên về.
Chúng tôi đã xem xét các báo cáo trên diễn đàn và nguồn gốc của virus. Chúng tôi tự tin rằng vectơ tấn công là vấn đề bảo mật nginx + php-fpm đã xuất hiện trên web một thời gian trước đây.
Mặc dù đó không phải là vấn đề trong chính Nextcloud, chúng tôi đã thông báo cho người dùng của mình thông qua tất cả các kênh chúng tôi có sẵn, bao gồm thông báo trực tiếp đến các máy chủ Nextcloud. Điều này có thể giải thích tại sao rất ít máy chủ bị ảnh hưởng trong số hàng trăm ngàn máy chủ Nextcloud trên web.
BleepingComputer khuyên người dùng nâng cấp lên PHP 7.3.11 hoặc PHP 7.2.24, tùy thuộc vào nhánh phát triển đang được sử dụng, để khắc phục lỗ hổng này.
