Se ha encontrado un nuevo ransomware en la naturaleza que actualmente no es detectado por los motores antivirus en las plataformas de escaneo público. Su nombre es NextCry debido a la extensión agregada a los archivos encriptados y que se dirige a los clientes del servicio de sincronización y uso compartido de archivos de NextCloud.
El malware se dirige a instancias de Nextcloud y, por el momento, no hay una herramienta de descifrado gratuita disponible para las víctimas.
Detección
xact64, un usuario de Nextcloud, publicó en el foro BleepingComputer algunos detalles sobre el malware en un intento de encontrar una manera de descifrar los archivos personales.
Aunque su sistema estaba respaldado, el proceso de sincronización había comenzado a actualizar archivos en una computadora portátil con su versión encriptada en el servidor. Tomó medidas en el momento en que vio los archivos renombrados, pero algunos de ellos aún fueron procesados por NextCry, también conocido como Next-Cry.
“Me di cuenta de inmediato de que mi servidor fue vulnerado y que esos archivos se cifraron. Lo primero que hice fue extraer el servidor para limitar el daño que se estaba haciendo (solo el 50% de mis archivos se cifraron) "- xact64
Al observar el binario de malware, Michael Gillespie dijo que la amenaza parece nueva y señaló que el ransomware NextCry usa Base64 para codificar los nombres de los archivos. La parte extraña es que el contenido de un archivo cifrado también se codifica de esta manera, después de ser cifrado primero.
El malware no se ha enviado al servicio ID Ransomware antes, pero algunos detalles están disponibles.
BleepingComputer descubrió que NextCry es un script de Python compilado en un binario ELF de Linux usando pyInstaller. En el momento de la escritura, ni un solo motor antivirus en la plataforma de escaneo VirusTotal lo detecta .
Otro usuario de Nexcloud llamado Alex publicó en la página de soporte de la plataforma acerca de ser golpeado por el ransomware NextCry. Dicen que el acceso a su instancia se bloqueó a través de SSH y ejecutó la última versión del software, lo que sugiere que se aprovechó cierta vulnerabilidad para ingresar.
En una conversación con BleepingComputer, xact64 dijo que su instalación de Nextcloud se ejecuta en una vieja computadora Linux con NGINX. Este detalle puede proporcionar la respuesta a cómo el atacante pudo obtener acceso.
"Tengo mi propio servidor Linux (un antiguo cliente ligero que le di una segunda vida) con nginx reverse-proxy" - xact64
El 24 de octubre, Nextcloud lanzó una alerta urgente sobre una vulnerabilidad de ejecución remota de código que afecta la configuración predeterminada de Nextcloud NGINX.
Rastreado como CVE-2019-11043, la falla está en el componente PHP-FPM (FastCGI Process Manager), incluido por algunos proveedores de hosting como Nextcloud en su configuración predeterminada. Existe un exploit público que se ha aprovechado para servidores comprometidos.
La recomendación de Nextcloud para los administradores es actualizar sus paquetes PHP y el archivo de configuración NGINX a la última versión.
Un representante de Nextcloud le dijo a BleepingComputer que actualmente están investigando los incidentes y proporcionarán más información a medida que esté disponible.
