Κάποιοι ερευνητές ασφαλείας ανακάλυψαν ένα νέο ransomware, που ονομάζεται NextCry. Στόχος του εν λόγω ransomware είναι οι πελάτες του λογισμικού NextCloud. Το NextCloud έχει σχεδιαστεί για τη δημιουργία και τη χρήση υπηρεσιών φιλοξενίας αρχείων.
Το ransomware πήρε το όνομά του από τις επεκτάσεις που προσθέτει στα κρυπτογραφημένα αρχεία. Προς το παρόν ο κακόβουλος κώδικας του NextCry δεν μπορεί να εντοπιστεί από τα προγράμματα προστασίας από ιούς.
Ο xact64, ένας χρήστης του Nextcloud, που επηρεάστηκε από το NextCry, δημοσίευσε κάποιες λεπτομέρειες σχετικά με το ransomware, σε μια προσπάθεια να βρει μια λύση ώστε να αποκρυπτογραφηθούν τα προσωπικά του αρχεία.
Ο xact64 εξήγησε ότι η διαδικασία συγχρονισμού ενημέρωνε τα αρχεία του σε κρυπτογραφημένη έκδοση στο sevrer.
“Συνειδητοποίησα αμέσως ότι ο server μου χακαρίστηκε και ότι τα αρχεία μου κρυπτογραφήθηκαν”, δήλωσε ο xact64. “Προσπάθησα να περιορίσω τη ζημιά (μόνο το 50% των αρχείων μου κρυπτογραφήθηκε)”.
Ο ερευνητής Michael Gillespie αξιοποίησε τις πληροφορίες, που μοιράστηκε ο xact64, για να αναλύσει το κακόβουλο λογισμικό. Επιβεβαίωσε ότι πρόκειται για ένα νέο ransomware, που χρησιμοποιεί το Base64 για να κωδικοποιήσει τα ονόματα των αρχείων. Ο ερευνητής είπε, ακόμα, ότι το NextCry χρησιμοποιεί τον αλγόριθμο AES-256 για την κρυπτογράφηση των αρχείων.
Το NextCry είναι ένα Python script, που έχει συνταχθεί σε ένα Linux ELF binary, μέσω του pyInstaller.
Οι hackers πίσω από το NextCry ransomware ζητούν 0,025 BTC (περίπου $ 210) από τα θύματα για την αποκρυπτογράφηση των αρχείων τους. Οι ερευνητές εξέτασαν το bitcoin wallet, που παρέχεται από τους hackers, και διαπίστωσαν ότι κανένα από τα θύματα δεν έχει δώσει τα λύτρα προς το παρόν.
Ακολουθεί το μήνυμα, που έστειλαν οι hackers μετά την εγκατάσταση του NextCry και την κρυπτογράφηση των αρχείων:
Οι αναλύσεις των ερευνητών επιβεβαίωσαν ότι ο κακόβουλος κώδικας σχεδιάστηκε αποκλειστικά για την πραγματοποίηση επιθέσεων σε χρήστες NextCloud.
Μετά την εκτέλεση, το NextCry ransomware διαβάζει το αρχείο config.php της υπηρεσίας NextCloud για να βρει τον NextCloud file share και sync data directory. Αφού το βρει, διαγράφει τους φακέλους που μπορούν να χρησιμοποιηθούν για την αποκατάσταση των αρχείων και κρυπτογραφεί όλα τα αρχεία στον κατάλογο δεδομένων.
Πριν από τέσσερις ημέρες, ένας άλλος χρήστης με το διαδικτυακό όνομα «alexpw» ανέφερε, επίσης, ότι επηρεάστηκε από το ransomware. Ο συγκεκριμένος χρήστης έτρεχε μάλιστα την πιο πρόσφατη έκδοση του λογισμικού NextCloud.
“Μία προειδοποίηση. Φαίνεται ότι υπάρχει κάποιο πρόβλημα στο NextCloud και δεν έχω πρόσβαση. Ο server μου ήταν ήδη κλειδωμένος, χρησιμοποιώντας SSH keys και το NextCloud ήταν ενημερωμένο», έγραψε.
Από το σχόλιο του συγκεκριμένου χρήστη, φαίνεται ότι οι hackers εκμεταλλεύτηκαν κάποιες ευπάθειες στον server.
Στις 24 Οκτωβρίου, η υπηρεσία Nextcloud είχε δημοσιεύσει μια επείγουσα προειδοποίηση για την ευπάθεια CVE-2019-11043 RCE στο NGINX.
Η προειδοποίηση έλεγε: “Τις τελευταίες 24 ώρες, εμφανίστηκε ένας νέος κίνδυνος στο NGINX, μια ευπάθεια που ονομάζεται CVE-2019-11043. Αυτό το exploit επιτρέπει την απομακρυσμένη εκτέλεση κώδικα σε ορισμένες διαμορφώσεις NGINX και php-fpm. Αν δεν τρέχετε το NGINX, αυτό το exploit δεν σας επηρεάζει».
“Δυστυχώς, η προεπιλεγμένη διαμόρφωση του Nextcloud NGINX είναι επίσης ευάλωτη σε αυτήν την επίθεση”.
Οι Nextcloud διαχειριστές καλούνται να ενημερώσουν τα PHP packages και το NGINX configuration file τους.
