¡ALERTA! RANSOMWARE ATACA SERVIDORES LINUX

Fuente: ZDNet

Al parecer el malware se ha extendido a las plataformas *NIX, las cuales se creían poco vulnerables contra este tipo de amenazas.

Pero ha aparecido un ransomware que esta atacando alguna vulnerabilidad en servidores web basados en Linux. Miles de web servers han sido infectados y sus archivos fueron cifrados por un ransomware llamado LILOCKED (o LILU).

La forma como los servidores han sido vulnerados y cifrado su contenido es actualmente desconocida. En algunos foros se habla de que podría estar apuntando a sistemas que ejecutan software Exim obsoleto o sin actualizar.

Los servidores afectados son fáciles de detectar porque la mayoría de los archivos secuestrados tienen una nueva extensión de archivo llamada: “lilocked”.

Imagen: ZDNet

Las infecciones han estado ocurriendo desde mediados de julio de este año y se han intensificado en las últimas dos semanas, según ha podido saber ZDNet.

Según la evidencia actual, el ransomware Lilocked parece apuntar solo a sistemas basados ​​en Linux.

Los primeros informes datan de mediados de julio, después de que algunas víctimas subieron la nota / demanda de rescate Lilocked en ID Ransomware, un sitio web para identificar el nombre del ransomware que infectó el sistema de una víctima.

Una copia de la nota de rescate (llamada # README.lilocked) está disponible en cada carpeta donde el ransomware cifra los archivos.

Imagen: ZDNet

Los usuarios son redirigidos a un portal en la web oscura, donde se les indica que ingresen una clave de la nota de rescate. Aquí, la pandilla Lilocked muestra una segunda demanda de rescate, pidiendo a las víctimas 0.03 bitcoin (aproximadamente $ 325).

Imagen: ZDNet
Imagen: ZDNet

Lilocked no encripta los archivos del sistema, sino solo un pequeño subconjunto de extensiones de archivo, como HTML, SHTML, JS, CSS, PHP, INI y varios formatos de archivos de imagen.

Esto significa que los servidores infectados continúan ejecutándose normalmente. Según el investigador de seguridad francés Benkow, Lilocked ha encriptado más de 6.700 servidores, muchos de los cuales han sido indexados y almacenados en caché en los resultados de búsqueda de Google.

¿Qué debe tener en la cuenta?

  • Mantenga actualizadas las versiones de paquetes de servidor web y los intérpretes como (php, pearl, jsp, etc.)
  • Mantenga activados los contextos de seguridad como SELinux y AppArmor.
  • Restrinja o filtre el acceso a Internet desde los servidores Web.
  • En los servidores publicados, utilice siempre servicios de seguridad como WAF e IPS.
  • Publique solamente los servicios necesarios y por medio de un firewall.
  • Instale un antivirus para Linux. Si no dispone de una licencia, recuerde que ClamAV sigue siendo el antivirus OpenSource más popular.
  • Ejecute un análisis de vulnerabilidades sobre sus servidores web publicados. Existen herramientas comerciales y opensource para esto.

Deja un comentario