Lilu, nuevo ransomware infecta miles de servidores basados en Linux

Miguel Gaton

2 minutos

Lilu pidiendo dinero

Lilu  se trata de un nuevo ransomware que también se le conoce con el nombre de Lilocked y que tiene como objetivo infectar servidores basados en Linux, algo que ha conseguido con éxito. El ransomware comenzó a infectar servidores a mediados del pasado mes de julio, pero en las últimas dos semanas los ataques han empezado a ser más frecuentes. Mucho más frecuentes.

El primer caso conocido del ransomware Lilocked salió a la luz cuando un usuario subió una nota a ID Ransomware, una web creada para identificar el nombre de este tipo de software malicioso. Su objetivo son los servidores y conseguir acceso root en los mismos. El mecanismo que usa para conseguir ese acceso aún es desconocido. Y lo malo es que ahora, menos de dos meses después, se ha sabido que Lilu ha infectado miles de servidores basados en Linux.

Lilu ataca servidores Linux para conseguir acceso root

Lo que hace Lilocked, algo que podemos intuir por su nombre, es bloquear. Para ser más concretos, una vez el servidor ha sido atacado con éxito, los archivos se bloquean con una extensión .lilocked. Dicho de otro modo, el software malicioso modifica los archivos, les cambia la extensión a .lilocked y quedan totalmente inservibles… a no ser que se pague para restaurarlos.

Además de cambiar la extensión de los archivos, también aparece una nota que dice (en inglés):

«¡¡¡He cifrado todos tus datos sensibles!!! Es un cifrado fuerte, así que no seas ingenuo intentando restaurarlo ;)»

Una vez se hace clic en el enlace de la nota, se redirige a una página en la dark web que pide poner la clave que hay en la nota. Cuando se añade dicha clave, se pide que se ingresen 0.03 bitcoins (294.52€) en la cartera de Electrum para que se elimine el cifrado de los archivos.

No afecta a archivos del sistema

Lilu no afecta a archivos del sistema, pero otros como los HTML, SHTML, JS, CSS, PHP, INI y otros formatos de imágenes sí pueden ser bloqueados. Esto significa que el sistema funcionará con total normalidad, solo que no se podrá acceder a los archivos bloqueados. El «secuestro» recuerda un poco al del «Virus de la policía», con la diferencia de que aquel sí que impedía el uso del sistema operativo.

El investigador de seguridad Benkow dice que Lilock ha afectado unos 6.700 servidores, la mayoría de ellos se almacenan en caché en los resultados de búsqueda de Google, pero podría haber más afectados que no están indexados por el famoso buscador. En el momento de escribir este artículo y como hemos explicado, no se conoce el mecanismo que usa Lilu para funcionar, por lo que no hay ningún parche que aplicar. Sí se recomienda que usemos contraseñas fuertes y que mantengamos el software siempre bien actualizado.


Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   DS dijo
    hace 5 años

    ¡Hola! Sería de ayuda divulgar las precauciones a tomar para evitar la infección. Leí en un artículo de 2015 que no estaba claro el mecanismo de infección pero que probablemente se trataba de un ataque de fuerza bruta. Sin embargo, considero, dado el número de servidores infectados (6700), que es poco probable que tantos administradores sean tan descuidados como para poner contraseñas cortas y fáciles de romper. Saludos.

    Responder a DS
  2.   jose villamizar dijo
    hace 4 años

    realmente es dudoso que se pueda afirmar que linux se infecte con un virus y de paso en java, para que este virus entre al servidor primero deben atravesar el firewal del router y luego el del servidor linux, luego como ose «autoejecuta» para que pida acceso al root?

    aun asumiendo que logre el milagro de ejecutarse, que es lo que hace para lograr acceso root? porque aun instalandose de modo no root es muy dificil ya que tendria que escribirse en crontab en modo root, es decir debe conocer la clave root que para obtenerla se necesitaria alguna aplicacion como un «keyloger» que «captura» las pulsaciones del teclado, pero sigue quedando la duda como se instalaria esa aplicacion?

    Responder a jose villamizar
  3.   jose villamizar dijo
    hace 4 años

    olvide mencionar que una aplicacion no puede instalarse «dentro de otra aplicacion» a menos que llegue de una web de descarga ya hecha, sim embargo para cuando llega a una pc ya esta se habra actualizao varias veces lo que haria que la vulnerabilidad para la que fue escrita deja de ser efectiva.

    en el caso de windows es muy distinto ya que un archivo html con java scrypt o con php puede crear un archivo del tipo .bat insluso del mismo tipo scrypt e instalarlo en la maquina ya que no se requiere ser root para este tipo de objetivo

    Responder a jose villamizar