Seguridad

Erebus, el ransomware que pone en jaque a cientos de servidores Linux

Claves de seguridad para los contenedores Linux

Después del fenómeno mediático de WannaCry, un nuevo ransomware hace su reaparición estelar… con los servidores Linux en el punto de mira.

Muchas veces tendemos a pensar que los sistemas operativos alternativos a Windows –como Linux o MacOS– son inmunes a las ciberamenazas. Pero nada más lejos de la realidad: si bien son objeto de muchos menos ataques (tanto por su mejor calidad técnica como por una simple relación de oferta-demanda por parte de los ciberdelincuentes) también sufren incidentes de enorme calado, como el que hemos conocido esta semana.

Como si de un relato se tratara, hemos de remontarnos a un pasado no muy lejano: el pasado 10 de junio. Ese día, la compañía de hosting web Nayana -radicada en Corea del Sur- sufrió el ataque de un ransomware llamado ‘Erebus’. En total, 153 de sus servidores Linux se vieron infectados por una variante de este virus (RANSOM_ELFEREBUS.A) que afectó a las webs, bases de datos y archivos multimedia de alrededor de 3.400 empresas que utilizan los servicios de este proveedor.

Como suele suceder en esta serie de ataques mediante ransomware (como el archiconocido WannaCry), los delincuentes exigieron a Nayana el abono de un rescate en tres pagos. En su nota, Erebus amenaza con borrar los archivos de la víctima dentro de las 96 horas siguientes a menos que se pague el rescate, que es 0,085 Bitcoin (216 dólares, a 15 de junio de 2017). La firma, después de valorar todas las opciones, optó por realizar el primero de esos pagos para poder descifrar los datos de sus clientes pero no ha obtenido todavía la primera clave para ello.

Por qué se culpa al bitcoin del ransomware WannaCry

Esta variante de Erebus tiene como objetivo 433 tipos de archivos, algunos de los cuales incluyen documentos de Office (.pptx, .docx, .xlsx), bases de datos (.sql, .mdb, .dbf, .odb), archivos (.zip, .rar), ficheros de correo electrónico (.eml, .msg), archivos de proyecto del desarrollador y del sitio web (.html, .css, .php, .java) y archivos multimedia (.avi, .mp4).

Un ransomware evolucionado

Recordemos que el ransomware Erebus (RANSOM_EREBUS.A) apareció por primera vez en septiembre de 2016, y se distribuía por malvertisements (anuncios maliciosos), los cuales desviaban a las víctimas al exploit kit Rig, que infecta los sistemas de la víctima con ransomware que atacaban a los servidores de comando y control.

En febrero de 2017, se descubrió que Erebus había evolucionado y cambiado sus tácticas, utilizando una técnica que evita el Control de Cuentas de Usuario (UAC) –una función de Windows que ayuda a prevenir que se produzcan cambios no autorizados en el sistema- para ejecutar el ransomware con privilegios elevados.

La versión que ha afectado a Nayana, descubierta por la firma de seguridad Trend Micro, incluye un falso servicio Bluetooth añadido para garantizar que el ransomware se ejecute incluso después de reiniciar el sistema o el servidor. También emplea UNIX cron, una función de sistemas operativos como Unix y Linux que programa trabajos a través de comandos o scripts de shell para verificar cada hora si el ransomware se está ejecutando.

Larga historia de malware para Linux

Erebus no es el primer malware de cifrado de archivos dirigido a sistemas Linux, ni siquiera a servidores. Linux.Encoder, Encryptor RaaS, una versión de KillDisk, Rex, Fairware y KimcilWare son todos capaces de dirigirse a máquinas que ejecutan Linux. De hecho, el ransomware para Linux apareció ya en 2014, y fueron ramificaciones de proyectos supuestamente de código abierto diseñado con fines educativos. Los ransomware SAMSAM, Petya y Crysis son solo algunas de las familias conocidas para atacar y provocar brechas en servidores.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.