Erebus, el ransomware para Linux que está causando estragos a muchas empresas

Erebus se ha convertido en uno de los ransomware más preocupantes de los que tienen como objetivo a los servidores Linux. El motivo está en lo que le ha pasado a la empresa de hosting surcoreana NAYANA, que vio cómo 153 de sus servidores Linux eran infectados por este malware.

Pero lo peor de todo no ha sido la infección de los servidores en sí, sino las consecuencias provocadas por aquello. Los ficheros y las bases de datos de unas 3.400 empresas se vieron afectados, y para recuperarlos, NAYANA pasó por caja y pagó a los ciberdelincuentes tras Erebus. La empresa de hosting decidió ir de frente y publicar un aviso de lo que había hecho, sin embargo, tras realizar el primer pago de los tres que tiene que hacer, el cual fue de un millón de dólares, parece que todavía no ha recibido la primera clave de descifrado.

Erebus, como es común en la mayoría de los ransomware, nació en un principio para infectar al sistema operativo Windows. Por entonces se distribuía mediante anuncios maliciosos (malvertising) que desviaban a las víctimas al kit de exploits Rig, utilizado para provocar la infección del ransomware. Esta variante de Erebus busca 423 tipos de ficheros y los cifra usando el algoritmo RSA-2048, además de añadir la extensión .encrypt al final de estos. Tras investigar se descubrieron varios sitios web comprometidos que lo estaban difundiendo en Corea del Sur, los cuales estaban siendo utilizados como servidores de mando y control.

En febrero de 2017 apareció una nueva variante que utilizaba una técnica para evitar el Control de Cuentas de Usuario (UAC) de Windows, lo que le permitía saltarse las defensas contra los accesos no autorizados y poderse ejecutar con altos privilegios. Además, en su nota de rescate amenaza con borrar los datos en 96 horas en caso de no recibir el pago de 0,085 bitcoins, que a mediados de junio del presente año venían a ser unos 216 dólares. Con el fin de evitar que el usuario tenga la mínima oportunidad de recuperar, aunque sea parcialmente, sus ficheros, esta variante de Erebus (RANSOM_EREBUS.TOR) se encarga de eliminar las copias instantáneas.

La versión más reciente de Erebus cambia de sistema operativo y ahora apunta a los servidores Linux. Utiliza el algoritmo RSA para cifrar las claves AES, cifrando los ficheros con claves AES únicas. Para permanecer en el sistema utiliza un falso servicio de Bluetooth para garantizar su inicialización incluso tras reiniciar el sistema y emplea una rutina cron para verificar cada hora la ejecución del malware. Debido a que el objetivo aquí son las empresas, el rescate en un principio era más alto, de 10 Bitcoints (24.689 dólares), aunque posteriormente bajó hasta los 5 (12.344 dólares). La variante de Erebus contra Linux infecta un total de 433 tipos de archivo (aunque Linux internamente no trabaja con extensiones como las de Windows), entre los cuales están pptx, docx, xlslx, sql, mbd, dbf, odb, zip, rar, eml, msg, html, css, php, java, avi y mp4.

Para minimizar las posibilidades de acabar infectado por un malware, los procesos a seguir en Linux no varían mucho de los que tendríamos que seguir en Windows:

• Mantener el sistema actualizado para obtener los últimos parches y correcciones a nivel de seguridad.
• Minimizar al máximo la utilización de repositorios de terceros o de fuentes desconocidas, ya que estos pueden contener vulnerabilidades que podrían ser explotadas por los ciberdelincuentes.
• Aplicar siempre los mínimos privilegios necesarios para evitar la exposición de datos a posibles daños y los posibles accesos no autorizados.
• Supervisar y validar de forma activa el tráfico de la red para protegerse de amenazas y detectar el tráfico malicioso. Se recomienda el uso de firewalls y otros mecanismos de prevención y detección de intrusiones.
• Realizar copias de seguridad de los datos. Algo simple y que resulta una perogrullada, pero tener una copia de seguridad siempre ayuda a minimizar los daños provocados por un malware (o incluso una avería), más si los datos son irrecuperables tras el incidente.
• Segmentar la red y categorizar los datos.