Lilu, el nuevo Ramsomware que ataca servidores (Linux Incluído)

Un ransomware relativamente nuevo llamado Lilocked está atacando activamente servidores, encriptando los datos contenidos en ellos. Todos los servidores infectados son sitios web, lo que hace que los archivos cifrados aparezcan en los resultados de búsqueda de Google.

No se sabe a ciencia cierta si Lilu ataca exclusivamente  servidores web, pero la mayoría de los archivos infectados y revisados por el conocido sitio de seguridad informática BleepingComputer están relacionados con sitios web. Al revisar los archivos enviados, no parece haber un patrón de ataque específico para WordPress, Magento u otros sitios desarrollados en CMS (comúnmente atacados), ni tampoco pareciera infectar archivos de sistema (solo los archivos que componen un sitio web), por lo que no discrimina sitios que se alojan en servidores Linux, Microsoft u otros.

Google ha reportado más de 6,000 resultados de búsqueda con servidores web que han sido encriptados por este ransomware, cuyos archivos han sido renombrados con la extensión .lilocked. 

El primer informe sobre Lilu tuvo lugar el 26 de julio de 2019 cuando Michael Gillespie de Bleeping Computer, vio una muestra cargada en su servicio ID Ransomware. Fue descubierto nuevamente ayer por el investigador de seguridad Benkow que tuiteó al respecto.

Además, si bien es cierto las estadísticas de envíos de ID Ransomware demuestran que esta infección tiene un volumen bajo, es sin embargo constante.

Los atacantes posiblemente aprovechan vulnerabilidades para obtener acceso

En respuesta al tweet de Gillespie, un usuario informó que el atacante obtuvo acceso a su servidor web utilizando un exploit de Exim. Gillespie le dijo a BleepingComputer que otra víctima reportó que su sitio web había sido atacado e infectado a través de una instalación obsoleta de WordPress,  sin embargo no se ha podido confirmar independientemente si el atacante está utilizando exploits para hackear los sitios.

Lo que se sabe sobre el proceso de cifrado Lilocked

Desafortunadamente, hasta la fecha no se ha encontrado una muestra de Lilocked, o Lilu, Ransomware, únicamente los archivos modificados, consecuencia de su acción.

Cuando una máquina es infectada, el ransomware cifrará un archivo y luego agregará la extensión .lilocked al nombre del archivo. Por ejemplo, apple-icon.png se cifraría y cambiaría su nombre a apple-icon.png.lilocked.

Para cada carpeta que está encriptada, Lilocked también generará una nota de rescate llamada # README.lilocked.

La nota de rescate # README.lilocked le dice a la víctima que sus datos han sido encriptados y que deben ir (empleando Tor) al sitio de pago del atacante para pagar un rescate en Bitcoins . Esta nota de rescate incluye una clave necesaria para iniciar sesión en el sitio de pago.

En este momento, no hay una forma conocida de descifrar archivos cifrados por Lilu,

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *