NextCryは、オープンソースのNextCloudソフトウェアを搭載した分散型ファイル同期・共有サービスを運営するLinuxサーバーを標的とする新たなランサムウェアです。このランサムウェアは現在、アンチウイルスエンジンでは検出されていません。
NextCryランサムウェア
BleepingComputerフォーラムユーザーxact64は、ランサムウェアNextCloudサーバーに感染した後、ファイルの半分がNextCryによって暗号化されたと報告しました。ファイル共有ソフトウェアは、ラップトップ上のファイルを暗号化されたバージョンで更新し続けましたが、xact64は何が起こっているのかに気づき、サーバーがラップトップへのファイル送信を停止しました。
「サーバーがハッキングされ、ファイルが暗号化されたことがすぐに分かりました。まず最初にしたのは、被害を最小限に抑えるためにサーバーを停止することでした(暗号化されたファイルは50%だけでした)」とフォーラムユーザーは述べています。
フォーラムメンバーは、著名なセキュリティ研究者であるマイケル・ギレスピー氏に暗号化されたファイルの一部を提供しました。ギレスピー氏は、ファイルがAES-256とRSA-2048暗号化アルゴリズムを用いた新しいランサムウェアによって暗号化されたことを確認しました。前者はファイルの暗号化に、後者はAES-256パスワードの暗号化に使用されました。
マルウェアによって配信される身代金要求メッセージには、次のように書かれています。
「ハッキングされました。ファイルは強力なAES-256アルゴリズムを使用して暗号化されています。0.025 BTCを以下のウォレット[ウォレットの暗号化アドレス]に送信し、支払い後に[サイバー犯罪者のメールアドレス]に連絡して、ファイルの復号に必要なキーを取得してください。」
ランサムウェアは0.025BTC(ビットコインの現在の価格に応じて約200ドル)を要求しています。この身代金を受け取るはずだったウォレットを分析したところ、まだ誰もサイバー犯罪者に身代金を送金していないことが明らかになりました。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
NextCryの仕組み
NextCloud対応コンピュータ上で実行された後、マルウェアはNextCloudサービスのconfig.phpを読み取り、NextCloudのファイル共有と同期データディレクトリを探します。ランサムウェアはまず、感染したファイルを元のクリーンな状態に復元できる可能性のあるフォルダとファイルをすべて削除し、その後、被害者のファイルの暗号化を開始します。
先週、別のユーザーが NextCloud のサポート ページで、自分のインスタンスが何らかの脆弱性によって乗っ取られ、SSH アカウントからロックアウトされたと報告しました。
「警告です。どうやらどこかに脆弱性があるようです。今日、NextCloudのインスタンスが乗っ取られました。サーバーは既にSSHキーを使ってロックダウンされており、NextCloudも最新の状態でした」とユーザーは投稿した。
ランサムウェアがサーバーに感染することを許した脆弱性は数週間前から知られていたようで、10月24日にはNextCloudが、NGINXサーバーを実行しているNextCloudユーザーはリモートコード実行のセキュリティ欠陥に対して脆弱であるという緊急アラートを発表した。
過去24時間で、NGINXに関連する新たなセキュリティリスクがCVE-2019-11043で確認されました。このエクスプロイトにより、一部のNGINXおよびphp-fpm構成においてリモートコード実行が可能になります。NGINXをご利用でない場合、このエクスプロイトによる影響はありません。
感染を避けるために、ユーザーは NGINX および PHP パッケージを更新し、最新バージョンの NextCloud を使用する必要があります。
