All’inizio di Novembre, sul forum di bleepingcomputer.com sono apparse le prime tracce pubbliche di un nuovo ransomware che prende di mira i server NextCloud (una popolare suite di applicazioni per la collaborazione, largamente utilizzata come valida alternativa a Dropbox e Google Drive) e che per questo è stato battezzato NextCry.

Un ransomware è un particolare tipo di codice malevolo che altera il contenuto dei file delle vittima rendendoli illeggibili a meno che non vengano decriptati con una chiave, ottenibile previo pagamento di un riscatto (ransom, in inglese) al creatore del malware.

Dalle poche informazioni che al momento sono disponibili, si tratta di uno script in Python compilato in un binario ELF tramite pyinstaller, e che attualmente passa ancora indisturbato sotto la lente dei software antivirus.

I nomi file vengono codificati con l’algoritmo Base64 e per crittografare i dati viene utilizzato l’algoritmo AES con una chiave a 256-bit. Non sono disponibili software per il decrypt, almeno per il momento, e la vulnerabilità sfruttata è probabilmente la falla di sicurezza delle configurazioni di default NGINX usate nelle installazioni di NextCloud e dei pacchetti php-fpm segnalata qualche settimana fa proprio dagli sviluppatori.

L’unico file rimasto leggibile per lo sfortunato utente che incappa in questa infezione è il file “READ_FOR_DECRYPT” che svela il costo del riscatto, 0.025 BTC (160 € circa, al momento della scrittura di questo articolo) per tornare in possesso dei propri dati. Il wallet bitcoin indicato sembra non aver ancora registrato transazioni.

Se state usando NGINX come webserver per le vostre istanze NextCloud, aggiornate senza indugio!

Marco Brigida

Amministratore di sistema “umile ma onesto”. Inciampato in Linux per caso, è stato l’inizio di una storia d’amore bellissima.