Server hosting bị nhiễm mã độc, một công ty Hàn Quốc mất hàng triệu USD
Server hosting Linux không hề an toàn 100% như chúng ta nghĩ, minh chứng là việc một công ty cung cấp dịch vụ hosting đã dính mã độc ransomware dẫn đến việc phải chịu mất hàng triệu USD cho việc mở khoá dữ liệu.
Khi mà tốc độ lây lan và sức phá hoại của ransomware WannaCry vẫn khiến người sử dụng mạng Internet không thể quên đi. Thì những vụ tấn công với hình thức tương tự vẫn đang diễn ra hàng ngày trên toàn thế giới. Mục tiêu chính của những kẻ tấn công dạng này thường là các công ty, tập đoàn với hệ thống máy chủ lớn. Mới đây là công ty NAYANA – nhà cung cấp dịch vụ web hosting lớn tại Hàn Quốc. Và cái giá để cứu vãn dữ liệu không phải là nhỏ
Hướng dẫn trả tiền chuộc của ransomware Erebus
Trong một thông báo mới nhất trên trang blog của công ty này, NAYANA cho biết sự cố kể trên xảy ra vào ngày 10 tháng Sáu vừa rồi, ransomware đã lây nhiễm trên 153 server Linux của họ, mã hóa toàn bộ 3400 website và toàn bộ dữ liệu trên các server này gây ảnh hưởng không hề nhỏ đến công việc kinh doanh của công ty.
Mức giá ban đầu để chuộc lại được những kẻ tấn công đưa ra là 550 Bitcoin (trên 1,6 triệu USD) tuy nhiên sau những đàm phán, mức giá cuối cùng là 397,6 Bitcoin (khoảng 1,01 triệu USD), chia làm 3 lần trả. Việc làm này nhằm tránh việc những kẻ tấn công nhận tiền nhưng lại không cho mã giải khoá. Ở thời điểm hiện tại, NAYANA cho biết đã hoàn thành thanh toán và giải mã 2 lần.
Phương thức nhận key và hướng dẫn giải mã trong một video từ kẻ tấn công
Theo thông tin từ hãng bảo mật Trend Micro cho biết, ransomware được sử dụng trong cuộc tấn công này có tên là Erebus. Ransomware này được ghi nhận lần đầu tiên vào tháng 9 năm ngoái và lần gần nhất là tháng 2 vừa qua. Trong lần xuất hiện trước đó, Erebus cho thấy khả năng vượt qua User Account Control của hệ điều hành Windows.
Lần này, từ thông tin những server bị mã hóa chạy hệ điều hành Linux bản kernel 2.6.24.2, Trend Micro cho rằng Erebus vẫn sử dụng những lỗ hổng đã biết trước, như là DIRTY COW, để chiếm quyền truy cập root của cả hệ thống.
Hãng này cũng cho biết thêm: “Phiên bản Apache được NAYANA sử dụng dưới quyền người sử dụng mặc định, nobody(uid=99), cho thấy dấu hiệu của việc khai thác cục bộ trong cuộc tấn công. Hơn nữa, những website của NAYANA còn chạy bản Apache 1.3.36 cũng như PHP bản 5.1.4. Đây đều là những phiên bản đã quá lỗi thời rồi.”
Mục tiêu của ransomeware Erebus đa phần chỉ đánh vào những ngời dùng mạng internet tại Hàn Quốc. Hình thức hoạt động chính của Erebus sử dụng thuật toán RSA-2048 nhằm mã hoá dữ liệu, chuyển file thành định dạng .ecrypt rồi hiển thị thông báo tống tiền. Sơ đồ mã hóa nhiều lớp sử dụng trong Erebus thể hiện trong file bị mã hóa như sau.
Đầu tiên, file mục tiêu sẽ bị xáo trộn bởi dạng mã hóa RC4 trong khối bộ nhớ 500kB theo khóa (key) sinh ngẫu nhiên. Khóa RC4 này sau đó tiếp tục được mã hóa bởi thuật toán AES, rồi được chứa trong file. Khóa AES tiếp đó lại được mã hóa sử dụng thuật toán RSA-2048 cũng được chứa trong file. Trong khi khóa RC4 và AES được lưu trong file, một khóa công khai RSA-2048 lại được chia sẻ.
Bộ khóa RSA-2048 được sinh ra một cách cục bộ, nhưng khóa private lại được mã hóa bằng AES kết hợp với một khóa sinh ngẫu nhiên khác. Do vậy nếu muốn giải được mã chỉ có cách nắm được mã RSA. Điều đó cũng đồng nghĩa với việc phải xuất tiền cho những kẻ tấn công.
Qua vụ việc trên chúng ta có thể thấy ngay cả đến những công ty lớn cũng có thể bị tấn công chứ không riêng gì những người dùng đơn lẻ. Bài học rút ra ở đây cho chúng ta là hãy luôn cẩn thận đề phòng bằng nhiều biện pháp, ví như cập nhật phần mềm mới nhất hay sao lưu dữ liệu liên tục.