Το Lilu, νέο ransomware μολύνει χιλιάδες διακομιστές που βασίζονται σε Linux

Miguel Gaton

2 λεπτά

Ο Λίλου ζητάει χρήματα

LiLu  Είναι ένα νέο ransomware που είναι επίσης γνωστό με το όνομα Lilocked και αυτό στοχεύει να μολύνει διακομιστές που βασίζονται σε Linux, κάτι που πέτυχε με επιτυχία. Το ransomware άρχισε να μολύνει διακομιστές στα μέσα Ιουλίου, αλλά οι επιθέσεις έχουν γίνει πιο συχνές τις τελευταίες δύο εβδομάδες. Πολύ πιο συχνά.

Η πρώτη γνωστή περίπτωση του Lilocked ransomware ήρθε στο φως όταν ένας χρήστης ανέβασε μια σημείωση στο Αναγνωριστικό Ransomware, ένας ιστότοπος που δημιουργήθηκε για να προσδιορίσει το όνομα αυτού του τύπου κακόβουλου λογισμικού. Ο στόχος σας είναι διακομιστές και αποκτήστε πρόσβαση root σε αυτούς. Ο μηχανισμός που χρησιμοποιεί για να αποκτήσει πρόσβαση είναι ακόμα άγνωστος. Και τα κακά νέα είναι ότι τώρα, λιγότερο από δύο μήνες αργότερα, η Lilu είναι γνωστό ότι έχει μολύνει χιλιάδες διακομιστές που βασίζονται σε Linux.

Η Lilu επιτίθεται σε διακομιστές Linux για να αποκτήσει πρόσβαση root

Αυτό που κάνει ο Lilocked, κάτι που μπορούμε να μαντέψουμε από το όνομά του, είναι μπλοκ. Για να είμαστε πιο συγκεκριμένοι, όταν ο διακομιστής έχει επιτεθεί με επιτυχία, το Τα αρχεία είναι κλειδωμένα με επέκταση .lilocked. Με άλλα λόγια, το κακόβουλο λογισμικό τροποποιεί τα αρχεία, αλλάζει την επέκταση σε .lilocked και γίνονται εντελώς άχρηστα ... εκτός αν πληρώσετε για να τα επαναφέρετε.

Εκτός από την αλλαγή της επέκτασης αρχείου, εμφανίζεται επίσης μια σημείωση που λέει (στα Αγγλικά):

«Έχω κρυπτογραφήσει όλα τα ευαίσθητα δεδομένα σου !!! Είναι ισχυρή κρυπτογράφηση, οπότε μην είστε αφελείς προσπαθώντας να την επαναφέρετε;) »

Μόλις κάνετε κλικ στον σύνδεσμο της σημείωσης, ανακατευθύνεται σε μια σελίδα στον σκοτεινό ιστό που ζητά να εισαγάγετε το κλειδί που υπάρχει στη σημείωση. Όταν προστίθεται ένα τέτοιο κλειδί, Ζητούνται 0.03 bitcoin (294.52 €) στο πορτοφόλι Electrum έτσι ώστε να αφαιρεθεί η κρυπτογράφηση των αρχείων.

Δεν επηρεάζει τα αρχεία συστήματος

Το Lilu δεν επηρεάζει αρχεία συστήματος, αλλά άλλα όπως HTML, SHTML, JS, CSS, PHP, INI και άλλες μορφές εικόνας μπορούν να αποκλειστούν. Αυτό σημαίνει ότι το σύστημα θα λειτουργήσει κανονικάΕίναι απλώς ότι τα κλειδωμένα αρχεία δεν θα είναι προσβάσιμα. Η «πειρατεία» θυμίζει κάπως τον «ιό της αστυνομίας», με τη διαφορά ότι απέτρεψε τη χρήση του λειτουργικού συστήματος.

Ο ερευνητής ασφαλείας Benkow λέει ότι ο Lilock έχει επηρεάσει περίπου 6.700 διακομιστές, LΤα περισσότερα από αυτά αποθηκεύονται στην κρυφή μνήμη στα αποτελέσματα αναζήτησης Google, αλλά θα μπορούσαν να επηρεαστούν περισσότερο, τα οποία δεν έχουν ευρετηριαστεί από τη διάσημη μηχανή αναζήτησης. Τη στιγμή της σύνταξης αυτού του άρθρου και όπως έχουμε εξηγήσει, ο μηχανισμός που χρησιμοποιεί η Lilu για εργασία είναι άγνωστος, οπότε δεν υπάρχει ενημέρωση κώδικα. Συνιστάται να χρησιμοποιούμε ισχυρούς κωδικούς πρόσβασης και να διατηρούμε πάντα το λογισμικό καλά ενημερωμένο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.

  1.   DS dijo
    πριν 5 χρόνια

    Γειά σου! Θα ήταν χρήσιμο να δημοσιοποιήσετε τις προφυλάξεις που πρέπει να λάβετε για να αποφύγετε τη μόλυνση. Διάβασα σε ένα άρθρο του 2015 ότι ο μηχανισμός μόλυνσης ήταν ασαφής, αλλά ότι ήταν πιθανώς μια επίθεση ωμής βίας. Ωστόσο, θεωρώ, δεδομένου του αριθμού των μολυσμένων διακομιστών (6700), ότι είναι απίθανο τόσοι πολλοί διαχειριστές να είναι τόσο απρόσεκτοι ώστε να βάζουν σύντομους, εύκολους να σπάσουν κωδικούς πρόσβασης. Χαιρετισμοί.

    Απάντηση στο DS
  2.   Χοσέ Βιγιαμιζάρ dijo
    πριν 4 χρόνια

    Είναι πραγματικά αμφίβολο ότι μπορεί να ειπωθεί ότι το linux έχει μολυνθεί από έναν ιό και, εν πάση περιπτώσει, σε Java, για να εισέλθει αυτός ο ιός στον διακομιστή, πρέπει πρώτα να διασχίσουν το τείχος προστασίας του δρομολογητή και στη συνέχεια εκείνο του διακομιστή linux, μετά ως ose " εκτελεί αυτόματα "έτσι ώστε να ζητά πρόσβαση root;

    ακόμη και αν υποτεθεί ότι επιτυγχάνει το θαύμα του τρέξιμο, τι κάνετε για να αποκτήσετε πρόσβαση στο root; επειδή ακόμη και η εγκατάσταση σε μη ριζική λειτουργία είναι πολύ δύσκολο, καθώς θα έπρεπε να γραφτεί σε crontab σε ριζική λειτουργία, δηλαδή, πρέπει να γνωρίζετε το ριζικό κλειδί ότι για να το αποκτήσετε θα χρειαστείτε μια εφαρμογή όπως "keyloger" που "καταγράφει" τα πλήκτρα, αλλά εξακολουθεί να υπάρχει το ερώτημα πώς θα εγκατασταθεί αυτή η εφαρμογή;

    Απάντηση στο jose villamizar
  3.   Χοσέ Βιγιαμιζάρ dijo
    πριν 4 χρόνια

    Ξεχάστε να αναφέρετε ότι μια εφαρμογή δεν μπορεί να εγκατασταθεί "σε μια άλλη εφαρμογή" εκτός εάν προέρχεται από έναν έτοιμο ιστότοπο λήψης, ωστόσο, όταν φτάσει σε έναν υπολογιστή, θα έχει ενημερωθεί αρκετές φορές, κάτι που θα έκανε την ευπάθεια για την οποία γράφτηκε δεν είναι πλέον αποτελεσματικό.

    Στην περίπτωση των παραθύρων, είναι πολύ διαφορετικό αφού ένα αρχείο html με java scrypt ή με php μπορεί να δημιουργήσει ένα ασυνήθιστο αρχείο .bat του ίδιου τύπου scrypt και να το εγκαταστήσει στο μηχάνημα, καθώς δεν απαιτείται να είναι root για αυτόν τον τύπο σκοπός

    Απάντηση στο jose villamizar