Duizenden van web-servers besmet en hadden hun bestanden gecodeerd door een nieuwe stam van ransomware genoemd Lilocked (of Lilu).
Infecties hebben plaatsgevonden sinds midden juli, en hebben geïntensiveerd in de afgelopen twee weken, ZDNet heeft geleerd.
Op basis van de huidige gegevens, de Lilocked ransomware lijkt te richten op Linux gebaseerde systemen.
De eerste verslagen van de datum tot half juli, na een aantal slachtoffers geupload van de Lilocked losgeld opmerking/vraag over ID Ransomware, een website voor de identificatie van de naam van de ransomware dat geïnfecteerde het systeem van het slachtoffer.
#Ransomware Jagen: uitbreiding “.lilocked”, nota “#LEESMIJ-bestand.lilocked” – https://t.co/cvaSXon1nN pic.twitter.com/mc2m8rsDFR
— Michael Gillespie (@demonslay335) 20 juli 2019
De manier waarop de Lilocked bende inbreuken op de servers en versleutelt de inhoud is op dit moment onbekend. Een thread op een russisch-sprekende forum stelt de theorie dat de boeven kunnen richten op systemen waarop verouderde Exim (e-mail) software. Het vermeldt ook dat de ransomware erin geslaagd om root toegang tot de servers door onbekende betekent.
Servers geraakt door deze ransomware zijn gemakkelijk te herkennen omdat de meeste van hun bestanden worden versleuteld en sport een nieuwe “.lilocked” file extension — zie de afbeelding hieronder.
Afbeelding: ZDNet
Een kopie van het losgeld opmerking (met de naam #LEESMIJ-bestand.lilocked) is beschikbaar in elke map waar de ransomware versleutelt bestanden.
Afbeelding: ZDNet
Gebruikers worden omgeleid naar een portal op de donkere web, waar ze de opdracht om een sleutel invoeren van het losgeld opmerking. Hier, de Lilocked bende wordt een tweede losgeld vraag, de vraag van slachtoffers voor 0.03 bitcoin (ongeveer $325).
Afbeelding: ZDNet
Afbeelding: ZDNet
Lilocked niet systeem versleutelen van bestanden, maar alleen een klein deel van bestandsextensies, zoals HTML, SHTML, JS, CSS, PHP, INI, en verschillende bestandsindelingen.
Dit betekent geïnfecteerde servers blijven normaal werken. Volgens de franse security-onderzoeker Benkow, Lilocked is gecodeerd meer dan 6 700 servers, veel van die zijn geïndexeerd en opgeslagen in de zoekresultaten van Google.
Afbeelding: ZDNet
Echter, het aantal slachtoffers is vermoedelijk nog veel hoger. Niet alle Linux systemen, web servers, en er zijn vele andere geïnfecteerde systemen die nog niet zijn geïndexeerd in de zoekresultaten van Google.
Omdat het eerste aanspreekpunt voor deze dreiging blijft een mysterie, het is onmogelijk om iets maar generic security advies tot server eigenaren-die worden aangeraden gebruik te maken van unieke wachtwoorden voor al hun accounts en houden van toepassingen up-to-date met security patches.
De Lilocked bende niet antwoorden op een verzoek voor commentaar verzonden naar het e-mail adres ze vermelding in het rantsoen opmerking.
Veiligheid
Android Google Play-app met 100 miljoen downloads begint te leveren malware
Microsoft: het Gebruik van multi-factor authenticatie blokken 99,9% van de account hacks
Een nieuwe IOT botnet is het infecteren van Android-gebaseerde set-top boxes
Schande over SHA-2: Symantec flunks basic programmeren (ZDNet YouTube)
De beste DIY home security systems 2019 (CNET)
De grootste cybersecurity risico ‘ s in de financiële sector (TechRepublic)
Verwante Onderwerpen:
Datacenters
Beveiliging TV
Data Management
CXO