Servery jihokorejské společnosti Nayana byly napadeny ransomware. Jednalo se celkem o 153 linuxových serverů.
K útoku došlo 10 května 2017. Více jak 3400 webových stránek přestalo fungovat, protože obsah na serverech byl zašifrován. Útočníci požadovali jako výkupné 550 bitcoinů, což v té době odpovídalo 1,6M USD. Společnost nakonec usmlouvala menší částku 397,6 bitcoinů (zhruba 1,01M USD).
Platba byla rozdělena na tři části. S každou uhrazenou částkou útočníci dešifrují poměrnou část obsahu. Podle oficiálních zpráv už hostingová společnost Nayana zaplatila dvě ze tří plateb.
Použitý ransomware byl Erebus. Ten byl poprvé objeven bezpečnostními experty v září 2016 ovšem cílil na uživatele s operačním systémem Windows. Útočníci zřejmě tento ransomware upravili pro Linux. Nutno podotknout, že tato upravená verze cílí na bezpečnostní zranitelnosti v Linux kernel 2.6.24.2 z roku 2008. Servery Nayana jsou tak zranitelné i proti dalším známým útokům, včetně Dirty cow.
Bezpečnostní experti byli také zaskočeni firemními stránkami společnosti Nayana, které běžely na Apache 1.3.36 s PHP 5.1.4. Obojí z roku 2006. Pokud deset let nedošlo k aktualizaci, tak právě tohle mohla být cesta, jak se Erebus dostal do systému Nayana.
Jakmile se dostane Erebus začne šifrovat soubory. Používá přitom RSA algoritmus na šifrování AES klíčů. Každý napadený soubor je zašifrován s unikátním AES klíčem. Samotný veřejný klíč RSA-2048 je však mezi zašifrovanými soubory sdílen. Zašifrovaný obsah je rozdělen na 500 kB bloky s náhodně generovanými klíči.
V současné době je Jižní Korea pod silným útokem ransomware Erebus. Ačkoliv jsou známé případy z Ukrajiny a Rumunska, všechno nasvědčuje tomu, že cílem jsou právě společnosti z Jižní Koreii. Erebus se zaměřuje na soubory dokumentů, databáze, archivy a multimídia. Celkem 433 různých druhů souborů (koncovek).
Jak je vidět, potvrdilo se, že se útočníci zaměřují na komerční subjekty, které často využívají Linux pro svou IT strukturu. Webservery, databáze a zálohohy dat tak mohou být velmi lákavý cíl.
