Miles de servidores web han sido infectados y sus archivos han sido encriptados por una nueva cepa de software de rescate llamado Lilocked (o Lilu).
Las infecciones han estado ocurriendo desde mediados de julio y se han intensificado en las últimas dos semanas, según ha informado ZDNet.
Basado en la evidencia actual, el rescate de Lilocked parece apuntar sólo a los sistemas basados en Linux.
Los primeros informes datan de mediados de julio, después de que algunas víctimas subieron la nota/demanda de rescate Lilocked en ID Ransomware, un sitio web para identificar el nombre del software de rescate que infectó el sistema de la víctima.
La forma en que la banda de Lilocked viola los servidores y encripta su contenido es actualmente desconocida. Un hilo de discusión en un foro de habla rusa plantea la teoría de que los delincuentes podrían estar apuntando a sistemas que ejecutan software Exim (correo electrónico) anticuado. También menciona que el ransomware logró obtener acceso root a los servidores por medios desconocidos.
Los servidores afectados por este software de rescate son fáciles de detectar porque la mayoría de sus archivos están encriptados y tienen una nueva extensión de archivo “.lilocked” (ver imagen de abajo).
Una copia de la nota de rescate (llamada #README.lilocked) está disponible en cada una de las carpetas en las que el software de rescate cifra los archivos.
A medida que los trabajadores se vuelven más flexibles en sus horarios y ubicaciones de trabajo, quieren poder acceder a los recursos de la red cuando y desde donde quieran. Es fácil proteger las estaciones de trabajo conectadas a su red cuando están relativamente seguras….
Los usuarios son redirigidos a un portal en la oscura web, donde se les instruye para que ingresen una clave de la nota de rescate.
Lilocked no cifra los archivos del sistema, sino sólo un pequeño subconjunto de extensiones de archivo, como HTML, SHTML, JS, CSS, PHP, INI y varios formatos de archivo de imagen.
Esto significa que los servidores infectados siguen funcionando normalmente. Según el investigador de seguridad francés Benkow, Lilocked ha cifrado más de 6.700 servidores, muchos de los cuales han sido indexados y almacenados en caché en los resultados de búsqueda de Google.
Sin embargo, se sospecha que el número de víctimas es mucho mayor. No todos los sistemas Linux ejecutan servidores web, y hay muchos otros sistemas infectados que no han sido indexados en los resultados de búsqueda de Google.
Debido a que el punto de entrada inicial para esta amenaza sigue siendo un misterio, es imposible proporcionar nada más que consejos de seguridad genéricos a los propietarios de servidores, a los que se les aconseja utilizar contraseñas únicas para todas sus cuentas y mantener las aplicaciones actualizadas con parches de seguridad.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian