NextCry, el ransomware que cifra datos en servidores Linux NextCloud

Investigadores han encontrado un nuevo ransomware en el entorno que, actualmente no es detectado por los motores antivirus en las plataformas de escaneo público.

El nombre del ransomware es NextCry, debido a la extensión agregada a los archivos cifrados; este se dirige a los clientes del servicio de sincronización y uso compartido de archivos de NextCloud.

El malware se dirige a instancias de Nextcloud y, por el momento, no hay una herramienta de descifrado gratuita disponible para las víctimas.

Cero detección

xact64, un usuario de Nextcloud, publicó en el foro de BleepingComputer algunos detalles sobre el malware, en un intento de encontrar una manera de descifrar los archivos personales.

Aunque su sistema tenía copia de seguridad, el proceso de sincronización había comenzado a actualizar archivos en una computadora portátil con su versión cifrada en el servidor.

Tomó medidas en el momento en que vio los archivos renombrados, pero algunos de ellos aún fueron procesados ​​por NextCry, también conocido como Next-Cry.

“Me di cuenta de inmediato de que mi servidor fue hackeado y que esos archivos se cifraron. Lo primero que hice fue extraer el servidor para limitar el daño que se estaba haciendo (solo el 50% de mis archivos se cifraron) “-, afirma xact64

Al observar el binario de malware, Michael Gillespie dijo que la amenaza parece nueva y señaló que el ransomware NextCry usa Base64 para codificar los nombres de los archivos.

La parte extraña es que el contenido de un archivo cifrado también se codifica de esta manera, después de ser cifrado primero.

El malware no se ha enviado al  servicio ID Ransomware antes, pero algunos detalles están disponibles.

Se ha descubierto que NextCry es un script de Python compilado en un binario ELF de Linux usando pyInstaller.

En el momento de la escritura de este artículo, ni un solo motor antivirus en la plataforma de escaneo VirusTotal lo detecta.

Dirigido a servidores Nexcloud

La nota de rescate está en un archivo llamado “READ_FOR_DECRYPT”, que indica que los datos están cifrados con el algoritmo AES con una clave de 256 bits.

Gillespie confirmó que se usa AES‌-256 y que la clave está cifrada con una clave pública RSA-2048 incrustada en el código de malware.

 

En la muestra analizada, el rescate exigido es 0.025 BTC, que equivale a aproximadamente $210 en el momento de la redacción de este post.

Se proporciona una billetera bitcoin pero no se han registrado transacciones hasta ahora.

Después de que otro miembro de BleepingComputer llamado shuum extrajo con éxito el script compilado de Python, pudimos ver claramente que este ransomware se dirige específicamente a los servicios de NextCloud.

Cuando se ejecuta, el ransomware primero encuentra el directorio de datos compartidos y de sincronización del archivo NextCloud de la víctima, leyendo el archivo config.php del servicio.

Posteriormente elimina algunas carpetas que podrían usarse para restaurar archivos y luego cifra todos los archivos en el directorio de datos.

Más de un caso visto

Otro usuario de Nexcloud llamado Alex, publicó en la página de soporte de la plataforma acerca de que estaba siendo afectado por el ransomware NextCry.

Este afirma que el acceso a su instancia se bloqueó a través de SSH y ejecutó la última versión del software, lo que sugiere que se aprovechó cierta vulnerabilidad para ingresar.

xact64 dijo que su instalación de Nextcloud se ejecuta en una vieja computadora Linux con NGINX. Este detalle puede proporcionar la respuesta a cómo el atacante pudo obtener acceso.

“Tengo mi propio servidor Linux (un antiguo cliente ligero que le di una segunda vida) con nginx reverse-proxy” – asegura xact64.

El 24 de octubre, Nextcloud lanzó una alerta urgente  sobre una vulnerabilidad de ejecución remota de código que afecta la configuración predeterminada de Nextcloud NGINX.

Dicha vulnerabilidad fue indentificada como CVE-2019-11043, la vulnerabilidad está en el componente PHP-FPM (FastCGI Process Manager), incluido por algunos proveedores de hosting como Nextcloud en su configuración predeterminada.

Existe un exploit público que  se ha aprovechado para servidores comprometidos.

La recomendación de Nextcloud para los administradores es actualizar sus paquetes PHP y el archivo de configuración NGINX a la última versión.

Un representante de Nextcloud dijo que actualmente están investigando los incidentes y proporcionarán más información a medida que esté disponible.