Lilocked/Lilu: Ransomware para Linux

Miles de servidores web han sido infectados y sus archivos fueron cifrados por una nueva variedad de ransomware llamado Lilocked (o Lilu). Las infecciones han estado ocurriendo desde mediados de julio y se han intensificado en las últimas dos semanas, según ha podido saber ZDNet.

Según la evidencia actual, el ransomware Lilocked parece apuntar solo a sistemas basados ​​en Linux.



Los primeros informes datan de mediados de julio, después de que algunas víctimas subieron la nota de rescate Lilocked en ID Ransomware, un sitio web para identificar el nombre del ransomware que infectó el sistema de una víctima.

La forma en que la pandilla Lilocked viola servidores y cifra su contenido es actualmente desconocida. Un hilo en un foro de habla rusa plantea la teoría de que los delincuentes podrían estar apuntando a sistemas que ejecutan software Exim obsoleto o sin actualizar. También menciona que el ransomware logró obtener acceso root a los servidores por medios desconocidos.

Los servidores afectados por este ransomware son fáciles de detectar porque la mayoría de sus archivos están cifrados y tienen una nueva extensión de archivo ".lilocked". Además, una copia de la nota de rescate (llamada #README.lilocked) está disponible en cada carpeta donde el ransomware cifra los archivos.


Los usuarios son redirigidos a un portal en la deep web, donde se les indica que ingresen una clave de la nota de rescate. Aquí, Lilocked muestra una segunda demanda de rescate, pidiendo a las víctimas 0.03 bitcoin (aproximadamente U$S325).

Lilocked no cifra los archivos del sistema, sino solo un pequeño subconjunto de extensiones de archivo, como HTML, SHTML, JS, CSS, PHP, INI y varios formatos de archivos de imagen.

Esto significa que los servidores infectados continúan ejecutándose normalmente. Según el investigador de seguridad francés Benkow, Lilocked ha cifrado más de 6.700 servidores, muchos de los cuales han sido indexados y almacenados en caché en los resultados de búsqueda de Google.

Sin embargo, se sospecha que el número de víctimas es mucho mayor. No todos los sistemas Linux ejecutan servidores web, y hay muchos otros sistemas infectados que no han sido indexados en los resultados de búsqueda de Google.

Debido a que el punto de entrada inicial para esta amenaza sigue siendo un misterio, es imposible proporcionar algo más que consejos genéricos de seguridad a los propietarios de servidores, a quienes se les recomienda usar contraseñas únicas para todas sus cuentas y mantener las aplicaciones actualizadas con parches de seguridad.

Fuente: SeguInfo

Comentarios

Entradas populares de este blog

Descienden las detecciones de malware en Android y crecen en iOS

Explotan el día cero de la VPN de Fortinet para robar credenciales

Microsoft dice que la interrupción masiva de Azure fue causada por un ataque DDoS