NextCry è un nuovo ransomware che prende di mira server NextCloud Linux

NextCry è un nuovo ransomware che prende di mira server NextCloud Linux

Individuato nelle scorse ore, per ora resta invisibile ai motori di scanning. Richiede 0,025 bitcoin come riscatto, pari a circa 150 euro

di pubblicata il , alle 12:01 nel canale Sicurezza
 

Una nuova variante di ransomware, particolarmente infida, è stata scoperta nelle passate ore e prende di mira i server NexCloud Linux: si chiama NextCry ed è in grado di passare inosservato ai sistemi di scanning e ai motori antivirus, e attualmente non è disponibile per le vittime alcuno strumento specifico che possa de-criptare i dati gratuitamente.

Il ransomware NextCry, che tecnicamete è uno script in Python compilato in un binario Linux ELF utilizzando pyInstaller, fa uso di Base64 per codificare i nomi di file e il contenuto dei file che sono già stati criptati. NextCry usa l'algoritmo AES con chiave a 256-bit. Le vittime ricevono una nota "READ_FOR_DECRYPT" che richiede un riscatto di 0,025 bitcoin - al momento in cui scriviamo si tratta di un controvalore di circa 160$/150€ - per sbloccare i file criptati.

Un utente ha condiviso la sua esperienza sul forum di Bleeping Computer, in un tentativo di trovare un modo per decrittare i file: "Ho realizzato che il mio server è stato compromesso e questi file sono stati criptati. La prima cosa che ho fatto è stato disattivare il server per limitare il danno che era stato fatto (solo il 50% dei file era stato criptato). Ho il mio server linux con NGINX reverse-proxy".

Il messaggio può fornire qualche indizio per capire come è stato possibile agli attaccanti accedere al sistema: lo scorso 24 ottore NextCloud ha infatti rivelato una vulnerabilità che è stata sfruttata per comprometere i server con la configurazione NGINX di default. NextCloud raccomanda che gli amministratori aggiornino i loro pacchetti PHP e il file di configurazione NGINX all'ultima versione per proteggersi contro gli attacchi NextCry.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
emiliano8425 Novembre 2019, 12:58 #1
nooo... proprio quando Lukeilbello e' stato bannato
Axios200625 Novembre 2019, 13:42 #2
Nel 2019, l'11% di tutte le vulnerabilità elencate dal National Vulnerability Database era collegato a PHP; storicamente, circa il 30% di tutte le vulnerabilità elencate dal 1996 in questo database sono collegate a PHP. Non sono frequenti i difetti di sicurezza tecnica della lingua stessa o delle sue librerie principali (22 nel 2009, circa l'1% del totale, sebbene PHP si applichi a circa il 20% dei programmi elencati). Riconoscendo che i programmatori commettono errori, alcune lingue includono il controllo della contaminazione per rilevare automaticamente la mancanza di convalida dell'input che induce molti problemi. Tale funzionalità è stata sviluppata per PHP, ma la sua inclusione in una versione è stata respinta più volte in passato.


Fonte: https://en.wikipedia.org/wiki/PHP#Security

Eh... PHP e sicurezza....
matsnake8625 Novembre 2019, 14:45 #3
Linux poverello non ha colpe qua.
È quella brutta merda di php come al solito.
panda8425 Novembre 2019, 15:16 #4
Qui nel dettaglio il blog di Nextcloud che spiega come si tratti di una issue di NGINX/PHP:
https://nextcloud.com/blog/nextcry-...-and-no-payout/
sintopatataelettronica25 Novembre 2019, 16:35 #5
Originariamente inviato da: emiliano84
nooo... proprio quando Lukeilbello e' stato bannato


a livello di bambini dell'asilo, siamo arrivati ormai, con certi commenti..

che tristezza
s-y25 Novembre 2019, 16:59 #6
Originariamente inviato da: sintopatataelettronica
a livello di bambini dell'asilo, siamo arrivati ormai, con certi commenti..

che tristezza


in realtà è da anni. kill filter e via

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^