Lilu, nuevo ransomware infecta miles de servidores basados en Linux

Lilu pidiendo dinero

Lilu  se trata de un nuevo ransomware que también se le conoce con el nombre de Lilocked y que tiene como objetivo infectar servidores basados en Linux, algo que ha conseguido con éxito. El ransomware comenzó a infectar servidores a mediados del pasado mes de julio, pero en las últimas dos semanas los ataques han empezado a ser más frecuentes. Mucho más frecuentes.

El primer caso conocido del ransomware Lilocked salió a la luz cuando un usuario subió una nota a ID Ransomware, una web creada para identificar el nombre de este tipo de software malicioso. Su objetivo son los servidores y conseguir acceso root en los mismos. El mecanismo que usa para conseguir ese acceso aún es desconocido. Y lo malo es que ahora, menos de dos meses después, se ha sabido que Lilu ha infectado miles de servidores basados en Linux.

Lilu ataca servidores Linux para conseguir acceso root

Lo que hace Lilocked, algo que podemos intuir por su nombre, es bloquear. Para ser más concretos, una vez el servidor ha sido atacado con éxito, los archivos se bloquean con una extensión .lilocked. Dicho de otro modo, el software malicioso modifica los archivos, les cambia la extensión a .lilocked y quedan totalmente inservibles… a no ser que se pague para restaurarlos.

Además de cambiar la extensión de los archivos, también aparece una nota que dice (en inglés):

“¡¡¡He cifrado todos tus datos sensibles!!! Es un cifrado fuerte, así que no seas ingenuo intentando restaurarlo ;)”

Una vez se hace clic en el enlace de la nota, se redirige a una página en la dark web que pide poner la clave que hay en la nota. Cuando se añade dicha clave, se pide que se ingresen 0.03 bitcoins (294.52€) en la cartera de Electrum para que se elimine el cifrado de los archivos.

No afecta a archivos del sistema

Lilu no afecta a archivos del sistema, pero otros como los HTML, SHTML, JS, CSS, PHP, INI y otros formatos de imágenes sí pueden ser bloqueados. Esto significa que el sistema funcionará con total normalidad, solo que no se podrá acceder a los archivos bloqueados. El “secuestro” recuerda un poco al del “Virus de la policía”, con la diferencia de que aquel sí que impedía el uso del sistema operativo.

El investigador de seguridad Benkow dice que Lilock ha afectado unos 6.700 servidores, la mayoría de ellos se almacenan en caché en los resultados de búsqueda de Google, pero podría haber más afectados que no están indexados por el famoso buscador. En el momento de escribir este artículo y como hemos explicado, no se conoce el mecanismo que usa Lilu para funcionar, por lo que no hay ningún parche que aplicar. Sí se recomienda que usemos contraseñas fuertes y que mantengamos el software siempre bien actualizado.

Un comentario, deja el tuyo

  1.   DS dijo

    ¡Hola! Sería de ayuda divulgar las precauciones a tomar para evitar la infección. Leí en un artículo de 2015 que no estaba claro el mecanismo de infección pero que probablemente se trataba de un ataque de fuerza bruta. Sin embargo, considero, dado el número de servidores infectados (6700), que es poco probable que tantos administradores sean tan descuidados como para poner contraseñas cortas y fáciles de romper. Saludos.

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.