Lilu, nou ransomware infecta milers de servidors basats en Linux

Miguel Gaton

2 minuts

Lilu demanant diners

Lilu  es tracta d'un nou ransomware que també se'l coneix amb el nom de Lilocked i que té com a objectiu infectar servidors basats en Linux, una cosa que ha aconseguit amb èxit. El ransomware va començar a infectar servidors a mitjans del mes de juliol passat, però en les últimes dues setmanes els atacs han començat a ser més freqüents. Molt més freqüents.

El primer cas conegut del ransomware Lilocked va sortir a la llum quan un usuari va pujar una nota a ID Ransomware, un web creat per identificar el nom d'aquest tipus de programari maliciós. El seu objectiu són els servidors i aconseguir accés root en aquests. El mecanisme que fa servir per aconseguir aquest accés encara és desconegut. I el pitjor és que ara, menys de dos mesos després, s'ha sabut que la Lilu ha infectat milers de servidors basats en Linux.

Lilu ataca servidors Linux per aconseguir accés root

El que fa Lilocked, cosa que podem intuir pel seu nom, és bloquejar. Per ser més concrets, un cop el servidor ha estat atacat amb èxit, els fitxers es bloquegen amb una extensió .lilocked. Dit d'una altra manera, el programari maliciós modifica els fitxers, els canvia l'extensió a .lilocked i queden totalment inservibles… tret que es pagui per restaurar-los.

A més de canviar l'extensió dels fitxers, també apareix una nota que diu (en anglès):

«He xifrat totes les teves dades sensibles!!! És un xifrat fort, així que no siguis ingenu intentant restaurar-ho ;)»

Un cop es fa clic a l'enllaç de la nota, es redirigeix ​​a una pàgina a la dark web que demana posar la clau que hi ha a la nota. Quan s'afegeix aquesta clau, es demana que s'ingressin 0.03 bitcoins (294.52€) a la cartera d'Electrum perquè s'elimini el xifratge dels fitxers.

No afecta fitxers del sistema

Lilu no afecta fitxers del sistema, però altres com els HTML, SHTML, JS, CSS, PHP, INI i altres formats d'imatges sí que poden ser bloquejats. Això vol dir que el sistema funcionarà amb total normalitat, només que no es podrà accedir als fitxers bloquejats. El «segrest» recorda una mica el del «Virus de la policia», amb la diferència que aquell sí que impedia l?ús del sistema operatiu.

L'investigador de seguretat Benkow diu que Lilock ha afectat uns 6.700 servidors, la majoria d'ells s'emmagatzemen en memòria cau en els resultats de cerca de Google, però podria haver-hi més afectats que no estan indexats pel famós cercador. A l'hora d'escriure aquest article i com hem explicat, no es coneix el mecanisme que utilitza Lilu per funcionar, per la qual cosa no hi ha cap pegat a aplicar. Sí que es recomana que fem servir contrasenyes fortes i que mantinguem el programari sempre ben actualitzat.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.

  1.   DS va dir
    fa 5 anys

    Hola! Seria ajuda divulgar les precaucions a prendre per evitar la infecció. Vaig llegir en un article del 2015 que no estava clar el mecanisme d'infecció però que probablement era un atac de força bruta. No obstant això, considero, atès el nombre de servidors infectats (6700), que és poc probable que tants administradors siguin tan descurats com per posar contrasenyes curtes i fàcils de trencar. Salutacions.

    Respondre DS
  2.   jose Villamizar va dir
    fa 4 anys

    realment és dubtós que es pugui afirmar que linux s'infecti amb un virus i de pas en java, perquè aquest virus entri al servidor primer han de travessar el firewal del router i després el del servidor linux, després com osi «autoexecuta» perquè demani accés al root?

    fins i tot assumint que aconsegueixi el miracle dexecutar, que és el que fa per aconseguir accés root? perquè encara instal·lant-se de manera no root és molt difícil ja que s'hauria d'escriure en crontab en mode root, és a dir ha de conèixer la clau root que per obtenir-la es necessitaria alguna aplicació com un keyloger que captura les pulsacions del teclat, però segueix quedant el dubte com s'instal·laria aquesta aplicació?

    Respondre a jose Villamizar
  3.   jose Villamizar va dir
    fa 4 anys

    oblideu esmentar que una aplicació no pot instal·lar-se «dins d'una altra aplicació» a no ser que arribi d'una web de descàrrega ja feta, però per quan arriba a una pc ja aquesta s'haurà actualitzat diverses vegades el que faria que la vulnerabilitat per a la qual va ser escrita deixa de ser efectiva.

    en el cas de windows és molt diferent ja que un arxiu html amb java scrypt o amb php pot crear un arxiu del tipus .bat inclus del mateix tipus scrypt i instal·lar-lo a la màquina ja que no cal ser root per a aquest tipus d'objectiu

    Respondre a jose Villamizar