A empresa de hospedagem na web sul-coreana está pagando mais de US $ 1 milhão de dólares em bitcoin a extorsionistas para pôr fim a um ransomware (malware) que afeta cerca de 3.500 clientes.
No que é visto como o maior pagamento público até à data, a empresa de hospedagem na web sul-coreana Nayana está pagando um total de 397,6 BTC (cerca de US $ 1,05 milhão de dólares) para o invasor, a fim de recuperar os dados de sites pertencentes a Mais de 3.400 clientes, a maioria dos quais são de pequenas empresas.
O ransomware, intitulado Erebus, infectou um total de 153 servidores Linux, juntamente com os sites dos clientes. De acordo com a Trend Micro, a tensão do ransomware é capaz de infectar até 433 tipos de arquivos, incluindo documentos do escritório, bancos de dados, arquivos e arquivos multimídia. Uma análise mais aprofundada por pesquisadores revelou que o ransomware foi especificamente codificado para a segmentação e criptografia de servidores web e seus dados.
Em um aviso publicado em 12 de junho, Nayana revelou detalhes da nota de resgate original que exigia 550 bitcoins (US $ 1,6 milhão no momento).
No dia 14 de junho, Nayana publicou uma atualização, revelando as negociações do CEO Hwang Chil-hong com os hackers. O executivo revelou que estava enfrentando uma ruína financeira e negociou a quantia de resgate até 397,6 BTC, a ser paga em três parcelas. Até agora, dois pagamentos já foram pagos.
Os pesquisadores da Trend Micro apontam para o uso de sistemas desatualizados da Nayana – um kernel do Linux de 2008, versões do Apache e do PHP a partir de 2006 como fatores por trás da exploração do ransomware.
“Vale ressaltar que este resgate é limitado em termos de cobertura e, de fato, está fortemente concentrado na Coréia do Sul”, escreveram os pesquisadores.
A atualização mais recente da Nayana de 20 de junho (terça-feira) revela que um programa de descriptografia atualmente em execução levará cerca de 2-5 dias para recuperar os arquivos do cliente, enquanto alguns servidores devem demorar mais de 10 dias. O terceiro pagamento deverá ser feito hoje, quarta-feira, após receber uma chave adicional de descriptografia.