Migliaia di server web è stato infettato e ha avuto i propri file criptati da un nuovo ceppo di ransomware denominato Lilocked (o Lilu).
Le infezioni si sono succeduti a partire dalla metà di luglio, e si sono intensificati nelle ultime due settimane, ZDNet ha imparato.
Sulla base di prove corrente, il Lilocked ransomware sembra di destinazione sistemi basati su Linux solo.
Primo report data per la metà di luglio, dopo alcune vittime caricato il Lilocked nota di riscatto/domanda ID Ransomware, un sito web per identificare il nome del ransomware che ha infettato una vittima del sistema.
#Ransomware Caccia: l’estensione “.lilocked”, nota “#LEGGIMI.lilocked” – https://t.co/cvaSXon1nN pic.twitter.com/mc2m8rsDFR
— Michael Gillespie (@demonslay335) 20 luglio 2019
Il modo in cui il Lilocked gang violazioni server e crittografa il loro contenuto è attualmente sconosciuto. Un filo di lingua russa forum mette avanti la teoria che i truffatori potrebbero essere sistemi di mira in esecuzione obsoleto Exim (e-mail) del software. Esso afferma inoltre che il ransomware è riuscito a ottenere l’accesso root al server sconosciuto significa.
I server colpiti da questo ransomware sono facili da individuare perché la maggior parte di loro file sono criptati e sfoggia un nuovo “.lilocked” estensione del file — vedi l’immagine qui sotto.
Immagine: ZDNet
Una copia della nota di riscatto (denominata #LEGGIMI.lilocked) è disponibile in ogni cartella in cui il ransomware consente di crittografare i file.
Immagine: ZDNet
Gli utenti vengono reindirizzati a un portale del dark web, dove viene indicato di inserire una chiave dalla nota di riscatto. Qui, il Lilocked gang visualizza una seconda richiesta di riscatto, chiedendo alle vittime di 0.03 bitcoin (circa $325).
Immagine: ZDNet
Immagine: ZDNet
Lilocked non crittografare i file di sistema, ma solo un piccolo sottoinsieme delle estensioni di file, come ad esempio HTML, SHTML, JS, CSS, PHP, INI, e vari formati di file immagine.
Questo significa infettato il server continua a funzionare normalmente. Secondo il francese, il ricercatore di sicurezza Benkow, Lilocked ha criptato più di 6.700 server, molti dei quali sono stati indicizzati e memorizzata nella cache nei risultati di ricerca di Google.
Immagine: ZDNet
Tuttavia, il numero delle vittime è sospettato di essere molto molto più alto. Non tutti i sistemi Linux, eseguire il server web, e ci sono molti altri sistemi infetti che non sono stati indicizzati nei risultati di ricerca di Google.
Perché il punto di partenza di questa minaccia rimane un mistero, è impossibile fornire qualsiasi cosa, ma generico consigli per la sicurezza per i proprietari dei server, che sono consiglia di utilizzare una password unica per tutti i loro conti e mantenere applicazioni aggiornato con le patch di sicurezza.
Il Lilocked gang non ha risposto a una richiesta di commento inviato all’indirizzo email che sono elencati nella nota di riscatto.
Sicurezza
Android app Google Play con 100 milioni di download inizia a distribuire malware
Microsoft: Utilizza autenticazione multi-fattore blocca il 99,9% degli account hack
Un nuovo IOT botnet sta infettando Android-based set-top box
Peccato per SHA-2: Symantec tale programmazione di base (ZDNet YouTube)
Il migliore fai da te sistemi di sicurezza domestica del 2019 (CNET)
Il più grande cybersecurity rischi nel settore dei servizi finanziari (TechRepublic)
Argomenti Correlati:
Centri Dati
Di sicurezza, TV
La Gestione Dei Dati
CXO