image

Linux-webservers doelwit van nieuwe ransomware

maandag 29 augustus 2016, 17:38 door Redactie, 17 reacties

Webservers draaiend op Linux zijn het doelwit van een nieuw ransomware-exemplaar genaamd FairWare. Aanvallers weten op nog onbekende manier toegang tot de webserver te krijgen en verwijderen vervolgens de webfolder. Webmasters zijn daardoor hun websites kwijt.

In een op de server achtergelaten bericht melden de aanvallers dat de bestanden voor een bedrag van 2 bitcoin kunnen worden teruggekregen. Met de huidige wisselkoers is dit een bedrag van ruim 1.000 euro. Het geld moet binnen 2 weken worden betaald, anders worden de bestanden op internet geplaatst, aldus de boodschap. Ook hebben de aanvallers een link opgenomen naar een artikel waarin staat dat de FBI ransomware-slachtoffers adviseert te betalen.

Of de aanvallers in dit geval de verwijderde bestanden na betaling teruggeven is onbekend, zo meldt de website Bleeping Computer waar één slachtoffer zich meldde. Ook op een Chinees forum maakt iemand melding van de ransomware. Ransomware voor Linux-webservers is niet nieuw. Eind vorig jaar werd er een ander exemplaar ontdekt dat duizenden websites voor losgeld versleutelde.

Reacties (17)
29-08-2016, 19:48 door Anoniem
Als mij dit overkomt, alle bestanden hebben een correctie HASH, de website terug zetten is een karwei van enkele uren. Maar een paar gigabyte. Ik ben hier toe overgegaan van deze manier van backuppen toen RANDSOMWARE steeds gevaarlijker werd. Zodra een HASH correctie code is veranderd wordt dit gelukkig hersteld. Zo is het principe tegen RANDSOMWARE, geef ieder bestand een eigen code, zorg dat alle bestanden bij elkaar ook een code hebben. Is er verandering? Dan automatisch terugzetten van backup.

Je moet dan wel voor iedere website 1 enkele totaal HASH code bijhouden, wat gemakkelijk kan door een lange CODE op papier uit te printen.

Heb wel degelijk gezien dat bij een persoon bestanden slechts 1 voor 1 werden aangetast en veranderd, als een slapend virus. Ik kon dat niet herstellen en nu kan ik dat voorkomen.
29-08-2016, 21:03 door Anoniem
Backups zijn ook niet nieuw maar dat schijnt maar een zeldzaam geadviseerde oplossing te zijn.
29-08-2016, 21:55 door Anoniem
pastebin: http://pastebin.com/raw/jtSjmJzS
30-08-2016, 00:42 door [Account Verwijderd]
Backups is niet echt de *oplossing* voor een klaarblijkelijke zero-day exploit. Ja, je bedrijf komt niet in gevaar maar je blijft kwetsbaar totdat de exploit gevonden en gepatched wordt.
Het is prachtig dat je de bestanden kunt herstellen totdat de beschadigde bestanden in je backup komen.
30-08-2016, 08:33 door [Account Verwijderd]
[Verwijderd]
30-08-2016, 08:43 door Anoniem
@Muria: dat doet nog niets met het dreigement dat de bestanden gelekt worden.. Voor een standaard wordpress website is dat niet erg (tenzij ze een dump maken van de database en er persoonsgegevens in staan(!)), maar als het een web applicatie is en we het over intellectueel eigendom hebben wordt het wel heel vervelend.
30-08-2016, 10:19 door ph-cofi
Van bleepingcomputer:
P/S: Through log file, I noticed that they used brute force SSH attack.
Hoeveel tijd zou het een aanvaller kosten om op deze manier 1 server binnen te komen? Klinkt nogal arbeidsintensief (voor de aanvallers-GPU dan).
30-08-2016, 10:21 door PietdeVries - Bijgewerkt: 30-08-2016, 10:23
Door Anoniem: @Muria: dat doet nog niets met het dreigement dat de bestanden gelekt worden.. Voor een standaard wordpress website is dat niet erg (tenzij ze een dump maken van de database en er persoonsgegevens in staan(!)), maar als het een web applicatie is en we het over intellectueel eigendom hebben wordt het wel heel vervelend.

Niet alleen dat - ook zet je met je backup hetzelfde zero-day lek terug dat ervoor zorgde dat je website gehacked werd! Je repareert helemaal niks, de deur staat nog net zo wijd open als voor de hack, je bezoekers zijn hun forum/mails/nieuws/whatever van de afgelopen tijd kwijt en je data ligt op straat...

Edit@ph-cofi:
SSH brute-force is redelijk eenvoudig te ondervangen door bijvoorbeeld fail2ban. Het gebruik van standaard wachtwoorden (te verkrijgen in mooie lijstjes) maakt brute-forcen niet al te lastig voor hackers. Beetje jammer natuurlijk dat je achteraf als Admin dan moet toegeven dat je wachtwoord niet al te sterk was...
30-08-2016, 10:55 door [Account Verwijderd] - Bijgewerkt: 30-08-2016, 10:56
[Verwijderd]
30-08-2016, 10:55 door [Account Verwijderd]
[Verwijderd]
30-08-2016, 12:32 door Anoniem
Ik kan nergens vinden hoe dit dan wordt gedaan. Kwam het echt door Linux?. Of was het misschien Apache? Of een lek PHP script (dus niet PHP zelf)? Of had iemand SSH open staan met PasswordAuthentication yes, wie weet zelfs PermitRootLogin yes, zonder brute-force detectie in plaats van public key authenticatie en eventueel SSH op een andere poort laten lopen (ja, het werkt echt tegen de meeste scriptkiddies dus laten we die discussie niet voeren)? Of is er een FTP account gehacked? Of... Er zijn stapels mogelijkheden hoe dit heeft kunnen gebeuren die niet eens zo high-tech zijn...

Verder, het schijnt dat de files achter worden gehouden en tot dusver blijkt nergens uit dat ze encrypted zijn. Dus waarom is dit ransomware? Het lijkt er meer op dat iemand de website is binnen gedrongen, en dat was dan perongeluk op een Linux webserver. Die persoon heeft de website leeg geslurpt en vraagt nu losgeld om de files weer terug te geven en niks openbaar te maken.

Ik mis informatie waaruit blijkt dat Linux de schuldige is, en waaruit blijkt dat we echt met ransomware te maken hebben.
30-08-2016, 14:15 door linuxpro
Door Anoniem: Ik kan nergens vinden hoe dit dan wordt gedaan.

Dat is mijn punt ook, ik kan nergens iets vinden hoe de randsomware wordt geupload ofzo en hoe het geactiveerd wordt. Tot die tijd kan je er ook niets tegen beginnen behalve de standaard procedures als updates uitvoeren en backups maken.
30-08-2016, 16:24 door [Account Verwijderd]
[Verwijderd]
31-08-2016, 11:50 door Anoniem
Door Muria:Er wordt gesuggereerd dat de Linux servers gewoon via brute force of password interception zijn gehackt. Geen vulnerability in Linux of ransomware software. Eerder targetvoorkeur.

http://www.tripwire.com/state-of-security/latest-security-news/website-down-new-fairware-ransomware-could-be-responsible/

Tjah, dan kan je je ook afvragen of we met ransomware te maken hebben. Het lijkt dus meer op een al dan niet simpele hack.

Ach ja, tegenwoordig moet het beestje een naam hebben, en "ransomware" is dan natuurlijk wel catchy en klinkt veeeel gevaarlijker.
01-09-2016, 08:22 door Anoniem
Door Anoniem: Backups zijn ook niet nieuw maar dat schijnt maar een zeldzaam geadviseerde oplossing te zijn.

Wel vaak geadviseerd, alleen in praktijk weinig gebruik van gemaakt ;-)
Ook wordt er te vaak door consumenten vertrouwd op synchronisatie tools met bv. een NAS.
Maar wanneer je ransomware hebt, synct die dit netjes naar je NAS als je niet uitkijkt...
01-09-2016, 14:23 door Anoniem
Door ph-cofi: Van bleepingcomputer:
P/S: Through log file, I noticed that they used brute force SSH attack.
Hoeveel tijd zou het een aanvaller kosten om op deze manier 1 server binnen te komen? Klinkt nogal arbeidsintensief (voor de aanvallers-GPU dan).

Bruteforce SSH... dus SSH open voor de buitenwereld? Herp derp dat is vragen om moeilijkheden.
01-09-2016, 23:26 door Anoniem
Volgens mij si
Door Anoniem:
Door ph-cofi: Van bleepingcomputer:
P/S: Through log file, I noticed that they used brute force SSH attack.
Hoeveel tijd zou het een aanvaller kosten om op deze manier 1 server binnen te komen? Klinkt nogal arbeidsintensief (voor de aanvallers-GPU dan).

Bruteforce SSH... dus SSH open voor de buitenwereld? Herp derp dat is vragen om moeilijkheden.

Volgens mij is de ontwikkeling van ssh, juist op daarop gericht. Of heb je liever dat men cpanel en phpmyadmin gebruikt?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.