NextCry - mã độc mã hóa tống tiền nhắm mục tiêu vào các máy chủ NextCloud
Một biến thể mã độc mã hóa tống tiền (Ransomware) mới đã được phát hiện trong thực tế đang nhắm mục tiêu vào các máy chủ NextCloud trên toàn thế giới. Đáng lo ngại hơn, tại thời điểm viết bài, vẫn chưa có bất kỳ công cụ phòng chống virus và các nền tảng rà quét mã độc nào phát hiện ra biến thể mã độc mới này.
 |
| NextCry - mã độc mã hóa tống tiền nhắm mục tiêu vào các máy chủ NextCloud - CyberSec365.org |
Theo đó, được đặt tên là NextCry, biến thể mã độc mã hóa tống tiền mới này nhắm mục tiêu đến các máy chủ NextCloud - một máy chủ dịch vụ chia sẻ và đồng bộ tệp.
Không bị phát hiện
Theo xact64, một người dùng NextCloud cho biết, mặc dù máy tính của mình đã được sao lưu hoàn tất lên máy chủ NextCloud, quá trình đồng bộ vẫn tiếp tục cập nhật các tệp trong máy tính xách tay của anh ta thành các tệp bị mã hóa trên máy chủ.
Tôi ngay lập tức nhận ra máy chủ NextCloud của mình đã bị xâm nhập và các tệp đã bị mã hóa. Ngay lập tức, tôi đã tắt máy chủ nhằm hạn chế thiệt hại. - xact64 cho biếtKhi tiến hành phân tích mã nhị phân của mã độc mã hóa tống tiền NextCry, Michael Gillespie cho biết đây là một mã độc hoàn toàn mới, nó sử dụng Base64 để mã hóa tên tệp. Điều kỳ lạ hơn, phần nội dung của tệp cũng bị mã hóa theo chuẩn Base64.
Theo các nhà nghiên cứu, mẫu ransomware NextCry là một tệp lệnh Python được biên dịch trong tệp nhị phân Linux ELF thông qua pyInstaller. Tại thời điểm viết bài, không có bất kỳ công cụ quét virus nào trên VirusTotal có thể phát hiện ra mã độc mã hóa tống tiền này.
 |
| NextCry - mã độc mã hóa tống tiền nhắm mục tiêu vào các máy chủ NextCloud - CyberSec365.org |
Máy chủ NextCloud bị nhắm mục tiêu
Sau khi mã hóa các tệp trong máy chủ, ghi chú đòi tiền chuộc nằm trong một tệp có tên là “READ_FOR_DECRYPT” và cho biết dữ liệu bị mã hóa bằng thuật toán AES-256 bit. Michael Gillespie cũng xác nhận rằng AES-256 được sử dụng và khóa được mã hóa bằng khóa chung RSA-2048 được nhúng trong mã phần mềm độc hại.
 |
| NextCry - mã độc mã hóa tống tiền nhắm mục tiêu vào các máy chủ NextCloud - CyberSec365.org |
 |
| NextCry - mã độc mã hóa tống tiền nhắm mục tiêu vào các máy chủ NextCloud - CyberSec365.org |
Một thành viên khác có biệt danh shuum đã trích xuất thành công tệp lệnh Python đã biên dịch. Qua đó, ta có thể xác định rằng mã độc mã hóa tống tiền này chỉ nhắm mục tiêu vào các máy chủ NextCloud.
Khi được thực thi, NextCry Ransomware trước tiên sẽ tìm các dữ liệu được chia sẻ trong máy chủ NextCloud bằng cách đọc tệp config.php. Sau đó, nó sẽ xóa một số thư mục mà nó nghi ngờ có thể được sử dụng để khôi phục các tệp lưu trữ và tiến hành mã hóa tất cả các tệp trong thư mục dữ liệu.
 |
| NextCry - mã độc mã hóa tống tiền nhắm mục tiêu vào các máy chủ NextCloud - CyberSec365.org |
Phát hiện thêm nhiều nạn nhân bị lây nhiễm:
Một người dùng khác có biệt danh Alex cũng đã đăng trên trang Support về việc bị tấn công bởi mã độc mã hóa tống tiền NextCry. Anh cho cho biết quyền truy cập vào máy chủ NextCloud thông qua SSH hiện đã bị khóa và anh ta đang sử dụng phiên bản NextCloud mới nhất.
Theo xact64 cho biết, hệ thống của anh ta cũng đang cài đặt NextCloud trên một máy tính Linux thông qua NGINX.
Tôi có một máy chủ linux của riêng mình với reverse-proxy nginx - xact64Vào ngày 24 tháng 10, Nextcloud đã đưa ra một cảnh báo khẩn cấp về lỗ hổng thực thi mã từ xa ảnh hưởng đến cấu hình NGINX mặc định của Nextcloud.
Có mã hiệu là CVE-2019-11043, lỗ hổng nằm trong thành phần PHP-FPM (Trình quản lý quy trình FastCGI), được một số nhà cung cấp dịch vụ lưu trữ như Nextcloud đưa vào trong thiết lập mặc định của họ. Một khai thác công khai tồn tại và đã được tận dụng cho các máy chủ bị xâm nhập.
Sau khi tiến hành điều tra, NextCloud cho biết mã độc mã hóa tống tiền này đã lợi dụng lỗ hổng PHP-FPM để tiến hành khai thác và mã hóa dư liệu. Do đó, NextCloud khuyến cáo tất cả người dùng cần nâng cấp lên phiên bản PHP 7.3.11 hoặc PHP 7.2.24 để tránh các trường hợp đáng tiếc xảy raĐại Phát (Theo BleepingComputer)
Không có nhận xét nào