Пользователи облачного хранилища NextCloud столкнулись с атаками нового шифровальщика, который уничтожает сохраненные резервные копии. По мнению ИБ-экспертов, зловред проникает в системы через обнаруженную недавно уязвимость движка PHP-FPM.

Об угрозе сообщили посетители форума BleepingComputer, которые искали способ вернуть доступ к своим данным. Как рассказал пользователь под ником xact64, он заметил проблему во время синхронизации ноутбука с облачным хранилищем. На его глазах корректные файлы стали меняться на зашифрованные копии. Пользователь поспешно отключился, однако половина содержимого оказалась заблокирована.

Устройство и механика атаки NextCry

Исследователи, которые изучили зловред, назвали его NextCry — такое расширение получают зашифрованные файлы. Программа представляет собой Python-скрипт, скомпилированный в исполняемый файл ELF (этот формат используется в UNIX-системах).

Оказавшись на компьютере жертвы, NextCry находит папку синхронизации с хранилищем NextCloud, удаляет с машины папки с исходными данными и шифрует облачную копию. В результате пораженные файлы загружаются вместо оригинальных, как в случае xact64.

Эксперт по вымогательскому ПО Майкл Гиллеспи (Michael Gillespie) рассказал, что NextCry обрабатывает файлы жертвы с помощью AES-алгоритма. Исследователь отметил, что по завершении шифрования программа также кодирует содержимое по стандарту Base64, что нетипично для таких зловредов.

За разблокировку файлов преступники просят 0,025 BTC (14 тыс. руб. по курсу на момент публикации). Отмечается, что указанный злоумышленниками кошелек пока пуст.

Вероятный вектор заражения шифровальщиком NextCry

Изучив сообщения пострадавших пользователей, специалисты BleepingComputer предположили, что NextCry эксплуатирует собственную уязвимость NextCloud. Об этом говорит тот факт, что зловред поражает и защищенные хранилища с актуальной версией ПО.

Дальнейшее расследование позволило разработчикам отследить источник заражения до уязвимости движка PHP-FPM, на котором работают некоторые NGINX-серверы. Как указали журналисты, в конце октября представители NextCloud предупреждали об RCE-баге, который присутствует в базовой конфигурации их продукта. Это решение как раз построено на уязвимой версии PHP-FPM.

Разработчики сообщили, что угроза коснулась лишь небольшой доли серверов. Они разослали администраторам уведомление о необходимости обновить сборку PHP до v.7.3.11/7.2.24, Учитывая, что на данный момент дешифратора к NextCry не существует, только апгрейд может защитить пользовательские данные.

Ранее эксперты BleepingComputer предупредили о шифровальщике TFlower, который атакует компьютеры через незащищенное RDP-соединение. Вымогатель отметился впечатляющей суммой выкупа — на старте кампании злоумышленники требовали 15 BTC (более 8,4 млн руб. по курсу на момент публикации).

Категории: Вредоносные программы