Fairware атакует Linux-серверы

[alexsf]

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Операторы серверов на Linux сообщают об атаках, в результате которых исчезает веб-папка сервера и сайты падают на неопределенный срок, пишет You are not allowed to view links. Register or Login.

На атаки You are not allowed to view links. Register or Login также форумчане BleepingComputer; судя по описанию, приведенному одной из жертв, это больше похоже на вторжение через брутфорс SSH. Примечательно, что в каждом случае удаляется веб-папка, остается лишь файл read_me, содержащий ссылку на страницу Pastebin с требованием выкупа.

Злоумышленники обещают вернуть файлы за 2 биткойна, поясняя, что сервер жертвы якобы заражен вымогательским ПО Fairware. Однако, по словам Лоуренса Абрамса (Lawrence Abrams) с BleepingComputer, это утверждение может быть не совсем верным.

«Если атакующий для осуществления «атаки» загружает программу или скрипт, тогда речь идет именно об этом [вымогательском ПО], — заявил эксперт. — К сожалению, на настоящий момент мы не располагаем достаточной информацией. Все отчеты свидетельствуют о том, что серверы были взломаны, однако у меня пока не было возможности это проверить».

Требование выкупа содержит адрес Bitcoin-кошелька, жертве предлагается произвести оплату в течение двух недель, в противном случае злоумышленники грозят слить файлы на сторону. «Мы — единственные в мире, кто может вернуть ваши файлы! — гласит размещенное на Pastebin сообщение. — Когда ваш сервер был взломан, файлы были зашифрованы и отправлены на сервер под нашим контролем!»

В сообщении также указан адрес электронной почты для «поддержки», однако жертве воспрещается его использовать, если она просто хочет удостовериться, что утерянные файлы действительно находятся у атакующих. «Пока не знаю, что они делают с файлами, — говорит Абрамс. — Поскольку файлы удаляются, для сохранения их было бы разумнее архивировать и загружать на некий сервер, а не возиться с шифрованием и отслеживать индивидуальные ключи».

Традиционное вымогательское ПО раздается через эксплуатацию уязвимостей или с помощью самой жертвы, которую хитростью заставляют исполнить вредоносный файл. В данном случае свидетельств такой активности выявлено не было. Одна из жертв, отметившаяся на форуме BleepingComputer, пишет, что ее Linux-сервер по большей части не пострадал от атаки, сохранились и файлы базы данных. В этой записи сказано, что файл read_me злоумышленники оставили в корневой папке.

Удаление файлов и отказ подтвердить их захват — необычное поведение для злоумышленников, оперирующих программой-вымогателем. «Вполне вероятно, что это так [мошенничество], однако в таком случае это плохое бизнес-решение для атакующих, — констатирует Абрамс. — Если вымогатель не выполняет свое обещание после уплаты выкупа, о нем идет дурная слава, и никто ему больше не станет платить».

Тем не менее сообщение о заражении вымогателем и угроза публикации краденых данных способны обескуражить жертву и заставить ее уступить требованиям атакующих. Fairware — не первая киберкампания, сопровождаемая подобной угрозой. В прошлом году к аналогичной уловке прибегли операторы шифровальщика Chimera, хотя на самом деле их зловред был не способен красть файлы или выкладывать их в Сеть.

«Жертвам вымогательских программ следует воздерживаться от уплаты выкупа, но если вы все-таки решились платить, то вначале удостоверьтесь, что у получателя платежа есть ваши файлы», — советует Абрамс.

You are not allowed to view links. Register or Login