0
0
Milhares de servidores web foram infectados e tiveram seus arquivos criptografados por uma nova variedade de ransomware chamada Lilocked (ou Lilu).
As infecções estão ocorrendo desde julho e se intensificaram nas últimas duas semanas, descobriu o ZDNet.
Com base nas evidências atuais, o ransomware Lilocked parece atingir apenas sistemas baseados em Linux.
Os primeiros relatórios datam que em julho, depois que algumas vítimas fizeram o upload da nota / demanda de resgate do Lilocked no ID Ransomware, um site para identificar o nome do ransomware que infectou o sistema da vítima.
Atualmente, a maneira como a gangue Lilocked viola servidores e criptografa seu conteúdo é desconhecida. Um tópico em um fórum de língua russa apresenta a teoria de que os hackers podem estar mirando sistemas executando software Exim (e-mail) desatualizado. Ele também menciona que o ransomware conseguiu obter acesso root aos servidores por meios desconhecidos.
Os servidores atingidos por este ransomware são fáceis de localizar porque a maioria dos arquivos é criptografada e ostenta uma nova extensão de arquivo “.lilocked” – veja a imagem abaixo.
Uma cópia da nota de resgate (denominada # README.lilocked) está disponível em cada pasta em que o ransomware criptografa arquivos.
Os usuários são redirecionados para um portal na dark web, onde são instruídos a inserir uma chave na nota de resgate. Aqui, a gangue Lilocked exibe um segundo pedido de resgate, pedindo às vítimas 0,03 bitcoin (aproximadamente US $ 325).
O Lilocked não criptografa arquivos do sistema, mas apenas um pequeno subconjunto de extensões, como HTML, SHTML, JS, CSS, PHP, INI e vários formatos de arquivo de imagem.
Isso significa que os servidores infectados continuam funcionando normalmente. Segundo o pesquisador de segurança francês Benkow , o Lilocked criptografou mais de 6.700 servidores, muitos dos quais foram indexados e armazenados em cache nos resultados de pesquisa (dorks) do Google.
No entanto, suspeita-se que o número de vítimas seja muito muito maior. Nem todos os sistemas Linux executam servidores da Web e existem muitos outros sistemas infectados que não foram indexados nos resultados de pesquisa do Google.
Como o ponto de entrada inicial para esta ameaça permanece um mistério, é impossível fornecer qualquer coisa, exceto conselhos genéricos de segurança aos proprietários de servidores – que são aconselhados a usar senhas exclusivas para todas as suas contas e manter os aplicativos atualizados com patches de segurança.
A gangue Lilocked não respondeu a um pedido de comentário enviado pelo portal ZDNet para o endereço de e-mail listado na nota de resgate.
FONTE: https://mundohacker.net.br/milhares-de-servidores-infectados-com-o-novo-ransomware-lilocked-lilu/