เมื่อวันที่ 12 มิถุนายนที่ผ่านมา บริษัทโฮสติ้งชื่อดังของเกาหลีใต้อย่าง NAYANA กลายเป็นหนึ่งในเหยื่อรายใหญ่ของแรนซั่มแวร์ โดยเซิร์ฟเวอร์ลีนุกส์กว่า 153 เครื่องถูกพบว่าติดเชื้อแรนซั่มแวร์ที่ชื่อ Erebus (ถูกตรวจพบโดย Trend Micro ในชื่อ RANSOM_ELFEREBUS.A) ซึ่งสร้างความเสียหายแก่ทั้งเว็บไซต์, ฐานข้อมูล, และไฟล์มัลติมีเดีย จนกระทบต่อลูกค้าระดับธุรกิจของ NAYANA กว่า 3,400 ราย
และจากประกาศล่าสุดบนเว็บของผู้ให้บริการโฮสติ้งรายนี้ เหมือนว่าจะยอมจ่ายค่าไถ่ให้อาชญากรโดยแบ่งเป็นงวดแรกจากสามงวดเพื่อให้ได้คีย์ถอดรหัสข้อมูลชุดแรกมา แต่ทว่าจนถึงขณะนี้ NAYANA ก็ยังไม่ได้รับคีย์ถอดรหัสแต่อย่างใด
แรนซั่มแวร์ Erebus นี้พบการระบาดครั้งแรกเมื่อกันยายนปีที่แล้ว โดยแพร่กระจายผ่านเว็บโฆษณาที่เป็นอันตราย เพื่อหลอกให้เหยื่อโหลดชุดโค้ดที่สามารถใช้ประโยชน์จากช่องโหว่ ทำให้สามารถติดตั้งแรนซั่มแวร์บนเครื่องของเหยื่อได้ Erebus นี้สามารถเข้ารหัสไฟล์ได้ถึง 423 ประเภท โดยปู้ยี่ปู้ยำไฟล์ด้วยอัลกอริทึมเข้ารหัสแบบ RSA-2048 แล้วเปลี่ยนสกุลไฟล์ที่เข้ารหัสแล้วเป็น .ecrypt ซึ่งพบว่ามีการใช้เว็บไซต์ในเกาหลีใต้เป็นเซิร์ฟเวอร์ควบคุมสั่งการ (C&C) อีกทอดหนึ่ง
แต่เมื่อกุมภาพันธ์ที่ผ่านมา พบว่า Erebus ถูกพัฒนาติดอาวุธใหม่ที่สามารถข้ามการป้องกันของระบบ User Account Control (UAC) บนวินโดวส์ที่คอยป้องกันการเปลี่ยนแปลงบนระบบอย่างไม่ถูกต้องได้ ทำให้สามารถรันแรนซั่มแวร์ด้วยสิทธิ์ผู้ดูแลระบบ
จากข้อความที่แรนซั่มแวร์แสดงให้เหยื่อเห็นนั้น Erebus จะลบไฟล์ของเหยื่อภายใน 96 ชั่วโมงถ้ายังไม่ได้รับค่าไถ่ ซึ่งมีมูลค่าประมาณ 0.085 บิทคอยน์ (หรือ 216 ดอลลาร์สหรัฐฯ) นอกจากนี้ยังลบไฟล์ที่สำรองไว้แบบ Shadow เพื่อปิดทางไม่ให้เหยื่อสามารถกู้ไฟล์เองได้อีกด้วย
เหตุการณ์ที่เกิดขึ้นกับ NAYANA ครั้งนี้มาจาก Erebus ที่มีการพอร์ตโค้ดให้มารันบนเซิร์ฟเวอร์ลีนุกส์โดยเฉพาะ ซึ่ง Trend Micro พบการเปลี่ยนมาใช้คีย์ AES แทนอัลกอริทึม RSA แบบบนวินโดวส์ แถมยังเพิ่มกลไกที่สร้างเซอร์วิสที่หลอกว่าเป็นเซอร์วิสบูลทูชธรรมดาเพื่อคอยตรวจให้แน่ใจว่าแรนซั่มแวร์ถูกรันแม้เครื่องหรือเซิร์ฟเวอร์จะรีบูตก่อนก็ตาม นอกจากนี้ยังมีการใช้ UNIX cron ที่เป็นยูทิลิตี้ที่ประพฤติตัวเหมือนยูนิกส์ สำหรับตั้งเวลารันคำสั่งหรือเชลล์สคริปต์ที่ต้องการ เพื่อตรวจทุกชั่วโมงว่าแรนซั่มแวร์ยังรันอยู่หรือไม่
กรณีของ NAYANA นั้น ถูกเรียกค่าไถ่รวมสูงถึง 10 บิทคอยน์ (หรือ 24,689 ดอลลาร์ฯ) แต่ก็มีการต่อรองให้ลดลงเหลือ 5 บิทคอยน์
ไฟล์หลักๆ ที่ Erebus จ้องเข้ารหัสนั้นได้แก่ ไฟล์เอกสารออฟฟิศ, ไฟล์ฐานข้อมูล, ไฟล์ข้อมูลบีบอัด, ไฟล์จดหมายอีเมล์, ไฟล์ที่เกี่ยวกับเว็บไซต์และโค้ดเว็บแอพ, รวมไปถึงไฟล์มัลติมีเดียต่างๆ เป็นต้น
Erebus ไม่ได้เป็นมัลแวร์เข้ารหัสไฟล์ตัวเดียวที่ทำร้ายลีนุกส์หรือระบบเซิร์ฟเวอร์ได้ ยังมีตัวอื่นๆ อีกได้แก่ Linux.Encoder, Encryptor RaaS, KillDisk Rex, Fairware, และ KimcilWare เป็นต้น แม้จะไม่หลากหลายเยอะมากเท่าบนระบบวินโดวส์ แต่ก็ถือว่าสร้างความเสียหายได้หนักมากเมื่อกระทบกับระบบที่มีผู้ใช้จำนวนมาก หรือระบบการทำงานหลักขององค์กร
ทาง Trend Micro ได้แนะวิธีการป้องกันการโจมตีลักษณะนี้ไว้หลายแนวทาง ไม่ว่าจะเป็น การอัพเดตระบบและเซิร์ฟเวอร์เป็นประจำ, หลีกเลี่ยงการติดตั้งแพกเกจจากเธิร์ดปาร์ตี้ที่ไม่รู้จัก, จำกัดสิทธิ์การเข้าถึงให้ต้องมีการล็อกอินในการเข้าถึงทุกประเภท, คอยตรวจสอบทราฟิกบนเครือข่ายอยู่เสมอด้วยการใช้ไฟร์วอลล์, หมั่นสำรองข้อมูล, และแบ่งส่วนเครือข่าย พร้อมกับจัดประเภทข้อมูล เพื่อจำกัดบริเวณความเสียหายที่อาจเกิดขึ้น
สำหรับโซลูชั่นของ Trend Micro ที่แนะนำได้แก่ Deep Security ที่ช่วยหยุดยั้งแรนซั่มแวร์ไม่ให้เข้ามาทำร้ายเซิร์ฟเวอร์และข้อมูลขององค์กร ไม่ว่าจะอยู่ในรูปกายภาพ, เวอร์ช่วล, บนคลาวด์, หรือในคอนเทนเนอร์ก็ตาม ด้วยฟีเจอร์ที่มาพร้อมกันอย่างระบบป้องกันการบุกรุก (IPS) และไฟร์วอลล์บนโฮสต์
