NextCry è un nuovo ransomware che prende di mira server NextCloud Linux

NextCry è un nuovo ransomware che prende di mira server NextCloud Linux

Individuato nelle scorse ore, per ora resta invisibile ai motori di scanning. Richiede 0,025 bitcoin come riscatto, pari a circa 150 euro

di pubblicata il , alle 12:01 nel canale Sicurezza
 

Una nuova variante di ransomware, particolarmente infida, è stata scoperta nelle passate ore e prende di mira i server NexCloud Linux: si chiama NextCry ed è in grado di passare inosservato ai sistemi di scanning e ai motori antivirus, e attualmente non è disponibile per le vittime alcuno strumento specifico che possa de-criptare i dati gratuitamente.

Il ransomware NextCry, che tecnicamete è uno script in Python compilato in un binario Linux ELF utilizzando pyInstaller, fa uso di Base64 per codificare i nomi di file e il contenuto dei file che sono già stati criptati. NextCry usa l'algoritmo AES con chiave a 256-bit. Le vittime ricevono una nota "READ_FOR_DECRYPT" che richiede un riscatto di 0,025 bitcoin - al momento in cui scriviamo si tratta di un controvalore di circa 160$/150€ - per sbloccare i file criptati.

Un utente ha condiviso la sua esperienza sul forum di Bleeping Computer, in un tentativo di trovare un modo per decrittare i file: "Ho realizzato che il mio server è stato compromesso e questi file sono stati criptati. La prima cosa che ho fatto è stato disattivare il server per limitare il danno che era stato fatto (solo il 50% dei file era stato criptato). Ho il mio server linux con NGINX reverse-proxy".

Il messaggio può fornire qualche indizio per capire come è stato possibile agli attaccanti accedere al sistema: lo scorso 24 ottore NextCloud ha infatti rivelato una vulnerabilità che è stata sfruttata per comprometere i server con la configurazione NGINX di default. NextCloud raccomanda che gli amministratori aggiornino i loro pacchetti PHP e il file di configurazione NGINX all'ultima versione per proteggersi contro gli attacchi NextCry.

5 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Axios200625 Novembre 2019, 13:42 #1
Nel 2019, l'11% di tutte le vulnerabilità elencate dal National Vulnerability Database era collegato a PHP; storicamente, circa il 30% di tutte le vulnerabilità elencate dal 1996 in questo database sono collegate a PHP. Non sono frequenti i difetti di sicurezza tecnica della lingua stessa o delle sue librerie principali (22 nel 2009, circa l'1% del totale, sebbene PHP si applichi a circa il 20% dei programmi elencati). Riconoscendo che i programmatori commettono errori, alcune lingue includono il controllo della contaminazione per rilevare automaticamente la mancanza di convalida dell'input che induce molti problemi. Tale funzionalità è stata sviluppata per PHP, ma la sua inclusione in una versione è stata respinta più volte in passato.


Fonte: https://en.wikipedia.org/wiki/PHP#Security

Eh... PHP e sicurezza....
matsnake8625 Novembre 2019, 14:45 #2
Linux poverello non ha colpe qua.
È quella brutta merda di php come al solito.
panda8425 Novembre 2019, 15:16 #3
Qui nel dettaglio il blog di Nextcloud che spiega come si tratti di una issue di NGINX/PHP:
https://nextcloud.com/blog/nextcry-...-and-no-payout/
sintopatataelettronica25 Novembre 2019, 16:35 #4
Originariamente inviato da: emiliano84
nooo... proprio quando Lukeilbello e' stato bannato


a livello di bambini dell'asilo, siamo arrivati ormai, con certi commenti..

che tristezza
s-y25 Novembre 2019, 16:59 #5
Originariamente inviato da: sintopatataelettronica
a livello di bambini dell'asilo, siamo arrivati ormai, con certi commenti..

che tristezza


in realtà è da anni. kill filter e via

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^