Južnokorejski hosting provajder zbog ransomwarea isplatio sajber kriminalcima milion dolara

Vesti, 22.06.2017, 00:30 AM

Južnokorejski web hosting provajder Nayana platio je sajber kriminalcima više od milion dolara da bi dobio pristup za ukupno 153 svojih Linux servera inficiranih ransomwareom.

Kompanija Nayana je saopštila da se napad dogodio 10. juna, i da je 3400 web sajtova inficirano ransomwareom Erebus koji je prvi put primećen prošle godine. Sajber kriminalci su najpre tražili 550 bitcoina za dešifrovanje inficiranih fajlova, ali posle dvodnevnih pregovora otkup je smanjen na 397,6 bitcoina, što je oko milion dolara.

U saopštenju koje je objavljeno na sajtu firme Nayana se kaže da su kriminalci procenili da će Nayana moći da plati više od 1,6 miliona dolara, na osnovu procene da svaki od 40 zaposlenih ima godišnju platu od 30000 dolara. Na osnovu te računice procenjeno je da firma godišnje zaradi najmanje 1,2 miliona dolara godišnje. Kriminalci su objasnili hosting provajderu da ukoliko ne može da plati, treba da uzme kredit ili da bankrotira.

Nayana je objavila da je sa hakerima dogovoreno da otkup bude isplaćen u tri rate, jer firma nije u stanju da prikupi toliku količinu novca u tako kratkom vremenu. Po dogovoru, hakeri će dešifrovati fajlove postepeno, kako novac bude uplaćivan. U subotu je Nayana objavila da je platila dve od tri rate.

Proces dešifrovanja bi mogao da potraje desetak dana, zbog velike količine šifrovanih podataka, saopštila je kompanija.

Erebus je ransomware koji se pojavio prošle godine a zatim ponovo u februaru ove godine, ali te verzije su mogle da inficiraju samo Windows računare. Ova verzija infcira samo Linux računare. Nije jasno da li su prethodne dve verzije nekako povezane sa Linux verzijom koja je napala kompaniju Nayana, ili je u pitanju još jedan slučaj u kome kriminalci koriste ime drugog ransomwarea.

Kada je reč o ransomwareu, kada završi sa procesom šifrovanja, Erebus ostavlja dva fajla na desktopu: "_DECRYPT_FILE.html" i "_DECRYPT_FILE.txt". Plaćanje se vrši preko dva Tor sajta.

Stručnjaci kompanije Trend Micro su analizirali sisteme kompanije i ustanovili da Nayana nije adekvatno zaštitila svoje servere, i da nije neobično što je došlo do infekcije s obzirom da su sistemi kompanije bili neažurirani. Web sajt kompanije radi na Linux kernel 2.6.24.2 iz 2008. Osim toga, web sajt Nayana koristi Apache verziju 1.3.36 i PHP verziju 5.1.4, obe iz 2006, pokazala je analiza kompanije Trend Micro.

Srećom, ransomware je koncentrisan uglavnom u Južnoj Koreji. Iako bi to moglo da znači da je napad ciljan, VirusTotal pokazuje drugačije - da su uzorci malvera dostavljeni i iz Ukrajini i Rumunije, mada bi za to mogli biti zaslužni drugi istraživači.

Nayana je saopštila da trenutno ima probleme i sa bazama podataka koji su se dogodili pošto su neki fajlovi dešifrovani.