Lilu, o novo ransomware infecta miles de servidores baseados en Linux

Lilu pedindo cartos

Lilu  É un novo ransomware que tamén se coñece co nome de Lilocked e que ten como obxectivo infectar servidores baseados en Linux, algo que conseguiu con éxito. O ransomware comezou a infectar servidores a mediados de xullo, pero os ataques foron máis frecuentes nas últimas dúas semanas. Moito máis frecuente.

O primeiro caso coñecido do ransomware Lilocked saíu á luz cando un usuario subiu unha nota a ID ransomware, un sitio web creado para identificar o nome deste tipo de software malicioso. O seu destino son servidores e obter acceso root nelas. Aínda se descoñece o mecanismo que usa para obter ese acceso. E a mala nova é que agora, menos de dous meses despois, sábese que Lilu infectou miles de servidores baseados en Linux.

Lilu ataca aos servidores Linux para obter acceso root

O que fai Lilocked, algo que podemos adiviñar polo seu nome, é bloque. Para ser máis específicos, unha vez que o servidor foi atacado con éxito, o os ficheiros están bloqueados cunha extensión. Noutras palabras, o software malicioso modifica os ficheiros, cambia a extensión a .lilocked e vólvense totalmente inútiles ... a non ser que pague por restauralos.

Ademais de cambiar a extensión do ficheiro, tamén aparece unha nota que di (en inglés):

«Cifrei todos os teus datos sensibles !!! É un cifrado forte, así que non sexas inxenuo intentando restauralo;) »

Unha vez que se fai clic na ligazón da nota, rediríxese a unha páxina da web escura na que se solicita introducir a clave que hai na nota. Cando se engade tal clave, Pídese a entrada de 0.03 bitcoins (294.52 €) na carteira Electrum para que se elimine o cifrado dos ficheiros.

Non afecta aos ficheiros do sistema

Lilu non afecta aos ficheiros do sistema, pero pódense bloquear outros como HTML, SHTML, JS, CSS, PHP, INI e outros formatos de imaxe. Isto significa que o sistema funcionará normalmenteÉ só que os ficheiros bloqueados non serán accesibles. O "secuestro" lembra algo ao "virus da policía", coa diferenza de que impediu o uso do sistema operativo.

O investigador de seguridade Benkow di que Lilock afectou a preto de 6.700 servidores, lA maioría delas están almacenadas na memoria caché nos resultados da busca de Google, pero podería haber máis afectados que non sexan indexados polo famoso buscador. No momento de escribir este artigo e como explicamos, descoñécese o mecanismo que usa Lilu para funcionar, polo que non hai ningún parche que aplicar. Recoméndase usar contrasinais seguros e manter sempre o software ben actualizado.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

3 comentarios, deixa os teus

Deixa o teu comentario

Enderezo de correo electrónico non será publicado.

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.

  1.   DS dixo

    Ola! Sería útil dar a coñecer as precaucións que se deben tomar para evitar a infección. Lin nun artigo de 2015 que o mecanismo de infección non estaba claro, pero que probablemente foi un ataque de forza bruta. Non obstante, considero, dado o número de servidores infectados (6700), que é improbable que tantos administradores sexan tan descoidados como para poñer contrasinais curtos e fáciles de romper. Saúdos.

  2.   José Villamizar dixo

    É realmente dubidoso que se poida dicir que linux estea infectado por un virus e, de paso, en java, para que este virus entre no servidor primeiro debe cruzar o firewall do enrutador e despois o do servidor Linux, despois como ose " auto-executa "para que solicite acceso root?

    incluso supoñendo que consegue o milagre de correr, que fas para acceder a root? porque incluso instalar en modo non root é moi difícil xa que tería que escribilo en crontab en modo root, é dicir, debes saber a clave raíz que para obtelo necesitarías unha aplicación como un "keyloger" que "captura" as pulsacións de teclas, pero aínda queda a pregunta de como instalar esta aplicación?

  3.   José Villamizar dixo

    Esqueza mencionar que unha aplicación non se pode instalar "dentro doutra aplicación" a menos que proceda dun sitio web de descarga xa feito, pero no momento en que chegue a un ordenador actualizarase varias veces, o que faría que a vulnerabilidade para a que foi escrita xa non é eficaz.

    No caso de Windows, é moi diferente xa que un ficheiro html con jry scrypt ou con php pode crear un ficheiro .bat inusual do mesmo tipo de scrypt e instalalo na máquina xa que non é necesario que sexa root para este tipo de obxectivos