Lilu, il nuovo ransomware infetta migliaia di server basati su Linux

Miguel Gaton

2 minuti

Lilu chiede soldi

Lilu  è un nuovo ransomware noto anche con il nome di Lilocked e quello mira a infettare i server basati su Linux, qualcosa che è stato raggiunto con successo. Il ransomware ha iniziato a infettare i server a metà luglio, ma gli attacchi sono diventati più frequenti nelle ultime due settimane. Molto più frequente.

Il primo caso noto di ransomware Lilocked è venuto alla luce quando un utente ha caricato una nota su ID Ransomware, un sito Web creato per identificare il nome di questo tipo di software dannoso. Il tuo obiettivo sono i server e ottenere l'accesso come root in loro. Il meccanismo che utilizza per ottenere tale accesso è ancora sconosciuto. E la cattiva notizia è che ora, meno di due mesi dopo, Lilu è noto per infettare migliaia di server basati su Linux.

Lilu attacca i server Linux per ottenere l'accesso come root

Quello che fa Lilocked, qualcosa che possiamo intuire dal suo nome, è bloccare. Per essere più precisi, una volta che il server è stato attaccato con successo, il file i file sono bloccati con un'estensione .lilocked. In altre parole, il software dannoso modifica i file, cambia l'estensione in .lilocked e diventano totalmente inutilizzabili ... a meno che non si paghi per ripristinarli.

Oltre a modificare l'estensione dei file, compare anche una nota che dice (in inglese):

«Ho crittografato tutti i tuoi dati sensibili !!! È una crittografia forte, quindi non essere ingenuo nel tentare di ripristinarla;) »

Una volta cliccato il collegamento della nota, viene reindirizzato a una pagina sul dark web che chiede di inserire la chiave che si trova nella nota. Quando viene aggiunta detta chiave, È necessario inserire 0.03 bitcoin (294.52 €) nel portafoglio Electrum in modo che la crittografia dei file venga rimossa.

Non influisce sui file di sistema

Lilu non influisce sui file di sistema, ma altri come HTML, SHTML, JS, CSS, PHP, INI e altri formati di immagine possono essere bloccati. Ciò significa che il sistema funzionerà normalmenteÈ solo che i file bloccati non saranno accessibili. Il "dirottamento" ricorda in qualche modo il "virus della polizia", ​​con la differenza che ha impedito l'utilizzo del sistema operativo.

Il ricercatore di sicurezza Benkow dice che Lilock ha interessato circa 6.700 server, TheLa maggior parte di essi viene memorizzata nella cache nei risultati di ricerca di Google, ma potrebbero essercene più interessati che non sono indicizzati dal famoso motore di ricerca. Al momento della stesura di questo articolo e come abbiamo spiegato, il meccanismo che Lilu usa per funzionare è sconosciuto, quindi non c'è nessuna patch da applicare. Si consiglia di utilizzare password complesse e di mantenere sempre aggiornato il software.


Lascia un tuo commento

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati con *

*

*

  1. Responsabile dei dati: Miguel Ángel Gatón
  2. Scopo dei dati: controllo SPAM, gestione commenti.
  3. Legittimazione: il tuo consenso
  4. Comunicazione dei dati: I dati non saranno oggetto di comunicazione a terzi se non per obbligo di legge.
  5. Archiviazione dati: database ospitato da Occentus Networks (UE)
  6. Diritti: in qualsiasi momento puoi limitare, recuperare ed eliminare le tue informazioni.

  1.   DS suddetto
    fa 5 anni

    Ciao! Sarebbe utile pubblicizzare le precauzioni da prendere per evitare l'infezione. Ho letto in un articolo del 2015 che il meccanismo di infezione non era chiaro ma che probabilmente si trattava di un attacco di forza bruta. Tuttavia, ritengo, dato il numero di server infetti (6700), che sia improbabile che così tanti amministratori siano così sbadati da inserire password brevi e facili da violare. Saluti.

    Rispondi a DS
  2.   Jose Villamizar suddetto
    fa 4 anni

    È davvero dubbio che si possa dire che linux sia infettato da un virus e, di sfuggita, in java, perché questo virus entri nel server devono prima attraversare il firewall del router e poi quello del server linux, poi come ose " si esegue automaticamente "in modo da richiedere l'accesso come root?

    anche supponendo che raggiunga il miracolo della corsa, cosa fai per ottenere l'accesso come root? perché anche installare in modalità non root è molto difficile dato che dovrebbe essere scritto in crontab in modalità root, cioè devi conoscere la root key che per ottenerla avresti bisogno di un'applicazione tipo "keyloger" che "cattura" le sequenze di tasti, ma resta ancora da chiedersi come sarebbe installata l'applicazione?

    Rispondi a jose villamizar
  3.   Jose Villamizar suddetto
    fa 4 anni

    Dimentica di menzionare che un'applicazione non può essere installata "all'interno di un'altra applicazione" a meno che non provenga da un sito Web di download già pronto, tuttavia quando raggiungerà un PC sarà stata aggiornata più volte, il che renderebbe la vulnerabilità per cui è stata scritta non è più efficace.

    nel caso di windows è molto diverso poiché un file html con java scrypt o con php può creare un file insolitamente .bat dello stesso tipo di scrypt e installarlo sulla macchina poiché non è necessario essere root per questo tipo di obiettivo

    Rispondi a jose villamizar