By medithIT

韓国のウェブホスティング会社であるNAYANAが管理する153台のLinuxサーバー、および3400の顧客企業のウェブサイト、データベース、ファイルなどがランサムウェア「Erebus(エレブス)」に暗号化されて使用不能になり、NAYANAはデータを取り戻すため、最終的に100万ドル(約1億1000円)相当のBitocoin(ビットコイン)をランサムウェアの制作者へ支払っていたことがわかりました。

▒▒호스팅 전문기업 (주)인터넷나야나, 웹호스팅, 도메인, 서버호스팅, 이미지호스팅, 홈페이지제작▒▒

http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=961

▒▒호스팅 전문기업 (주)인터넷나야나, 웹호스팅, 도메인, 서버호스팅, 이미지호스팅, 홈페이지제작▒▒

http://www.nayana.com/bbs/set_view.php?b_name=notice&w_no=966

Linuxサーバを狙ったランサムウェア「Erebus」とその対策 | トレンドマイクロ セキュリティブログ

http://blog.trendmicro.co.jp/archives/15227

2017年6月14日にNAYANAが公開したブログポストによると、6月10日にNAYANAはランサムウェアに感染し、顧客のデータを暗号化されてしまい、身代金として50億ウォン(約4億9000万円)相当のビットコインを要求されていたとのこと。NAYANA側でランサムウェアのロックを解除することはできず、NAYANAはランサムウェア側に交渉を持ちかけ、最終的に金額は12億ウォン(約1億7800万円)相当のビットコインを、6月19日までに3回に分けて支払うことで合意に至っています。その結果、顧客へのデータ復旧も始まっているようです。

NAYANAはランサムウェアの感染経路については明かしていませんが、トレンドマイクロはこの件についてセキュリティブログに投稿しており、NAYANAが感染したランサムウェアは暗号化型ランサムウェア「Erebu」の亜種であるとのこと。Erebusは2016年9月に初めて発見されたランサムウェアで、元はWindowsのみをターゲットにしたランサムウェアでしたが、2017年2月にも亜種が見つかっており、今回NAYANAのサーバーに感染したErebusは、Linuxシステムで動作するように改変された亜種であることがわかっています。



トレンドマイクロによると、NAYANAのウェブサイトは2008年のLinuxカーネルのバージョン「2.6.24.2」で動作しており、これには「Dirty COW」と呼ばれる脆弱性が存在します。さらにNAYANAのウェブサイトは2006年にリリースされたApacheのバージョン「1.3.36」、およびPHPのバージョン「5.1.4」を使用しており、両方に既知の脆弱性が報告されているほか、中国の地下市場ではこれらの脆弱性を突く犯罪ツールも販売されているとのこと。

今回はこれらの古い脆弱性を糸口にサーバーに感染したものと見られ、トレンドマイクロはLinuxのPCおよびサーバー向けのランサムウェアが増加していることを挙げ、システムを最新の状態に保つよう企業のセキュリティ担当者に警告しています。