Tusindvis af web-servere er blevet smittet, og havde deres filer, som er krypteret af en ny stamme af ransomware opkaldt Lilocked (eller Lilu).
Infektioner har været tilfældet siden midten af juli, og er blevet forstærket i de seneste to uger, ZDNet har lært.
Baseret på det foreliggende materiale, de Lilocked ransomware ser ud til at målrette Linux-baserede systemer.
De første rapporter dato til midten af juli, efter nogle ofre uploadet Lilocked løsesum note/efterspørgsel på ID Ransomware, en hjemmeside til at identificere navnet på den ransomware, der er inficeret et ofrets system.
#Ransomware Jagt: udvidelse “.lilocked”, note “#README.lilocked” – https://t.co/cvaSXon1nN pic.twitter.com/mc2m8rsDFR
— Michael Gillespie (@demonslay335) 20 juli 2019
Den måde, Lilocked bande brud servere og krypterer deres indhold er i øjeblikket ukendt. En tråd om en russisk-talende forum fremsætter den teori, at svindlere kan være rettet mod systemer, der kører med forældede Exim (e-mail) software. Det nævnes også, at ransomware formået at få root-adgang til servere, som af ukendte midler.
Servere, der er ramt af denne ransomware er let at få øje på, fordi de fleste af deres filer, der er krypteret og sportslige en ny “.lilocked” file extension-se billede nedenfor.
Billede: ZDNet
En kopi af løsepenge note (opkaldt #README.lilocked) er til rådighed i hver mappe, hvor ransomware krypterer filer.
Billede: ZDNet
Brugerne er omdirigeret til en portal på the dark web, hvor de er bedt om at indtaste en nøgle fra den løsesum note. Her Lilocked bande viser en anden løsesum efterspørgsel, beder ofrene for 0,03 bitcoin (omkring $325).
Billede: ZDNet
Billede: ZDNet
Lilocked ikke kryptere system-filer, men kun en lille delmængde af filtypenavne, såsom HTML, SHTML, JS, CSS, PHP, INI, og forskellige filformater.
Dette betyder, at inficerede servere fortsætte med at køre normalt. I henhold til fransk sikkerhedsekspert Benkow, Lilocked har krypteret mere end 6,700 servere, hvoraf mange er blevet indekseret og cachelagret i Googles søgeresultater.
Billede: ZDNet
Men antallet af ofre er mistænkt for at være meget, meget højere. Ikke alle Linux-systemer til at køre web-servere, og der er mange andre inficerede systemer, der ikke er indekseret i Google-søgeresultater.
Fordi udgangspunkt for denne trussel, er stadig et mysterium, det er umuligt at give noget, men generisk sikkerhed rådgivning til server ejere — der rådes til at bruge forskellige adgangskoder til alle deres konti og holde programmer opdateret med sikkerhedsrettelser.
Den Lilocked gang ikke havde svaret på en anmodning om kommentar sendt til den e-mail-adresse, de er notering i løsesum note.
Sikkerhed
Android Google Play app med 100 millioner downloads begynder at levere malware
Microsoft: Brug af multi-faktor-autentificering blokke 99,9% af konto hacks
En ny tingenes internet botnet er at inficere Android-baseret set top-bokse
Skam over SHA-2: Symantec dumper grundlæggende programmering (ZDNet YouTube)
Den bedste DIY sikkerhed i hjemmet systemer i 2019 (CNET)
Den største cybersecurity risici i den finansielle sektor (TechRepublic)
Relaterede Emner:
Datacentre
Sikkerhed-TV
Data Management
CXO