Autores de ransomware están ampliando su base de víctimas mediante la adición de sistemas web de Linux.
Los “especialistas” en elaborar ransomware continúan su búsqueda de nuevas fuentes de ingresos, es decir, la ampliación de la base de posibles víctimas. Después de la orientación al consumidor y luego de haber fastidiado los equipos de negocios, ahora han ampliado sus ataques a los servidores web.
Investigadores de malware del proveedor de antivirus ruso Doctor Web han descubierto recientemente un nuevo programa de malware para sistemas basados en Linux que ha sido llamado Linux.Encoder.1 y que solicita a sus víctimas un rescate en forma Bitcoin.
¿Cómo funciona?
Linux.Encoder.1 descarga entre otras cosas un archivo asociado a una clave RSA al que se recurre durante el proceso de infección, y aplica a los archivos la extensión .encrypted.
Una vez que se ejecutan en un sistema con privilegios de administrador que comienza atravesando todo el sistema de archivos y el cifrado los mismos en directorios específicos, incluyendo el directorio del usuario doméstico, el directorio del servidor MySQL, el directorio de registros y los directorios web de los servidores web Apache y Nginx.
El programa de malware encripta los archivos con determinadas extensiones, en particular los relacionados con las aplicaciones Web en diferentes lenguajes de programación, imágenes, multimedia y documentos. A continuación, deja una nota de rescate en cada directorio que contiene los archivos cifrados.
Linux.Encoder.1 utiliza un algoritmo de cifrado y criptografía de clave pública, por lo que que hay que pagar pra rescatar aquellos archivos de disco duro que no se encuentren respaldados.
A diferencia de los PC de consumo o estaciones de trabajo empresariales, los servidores Web son más propensos a tener una rutina de copia de seguridad configurado.
Sin embargo, este programa ransomware también cifra los archivos y directorios que contengan la palabra copia de seguridad, por lo que es de vital importancia salvar regularmente las copias de seguridad en servidor remoto o un almacenamiento fuera de línea.
Secuestrador furtivo
Al parecer, Linux.Encoder.1 tiene predilección por los administradores de páginas web. En el momento de la advertencia se calculaba que decenas de usuarios se encontraban afectados por este malware.
No está claro cómo se instala el malware en servidores, pero los ataques contra los sistemas de Linux suelen incluir fuerza bruta para lograr las credenciales de acceso remoto (SSH) o – también – manipulación de aplicaciones Web, como la inyección SQL o inclusión de archivos remotos, combinado con escaladas de privilegios locales.
Fuente Ransomware ataca servidores web de Linux
Autores de ransomware están ampliando su base de víctimas mediante la adición de sistemas web de Linux.
Los “especialistas” en elaborar ransomware continúan su búsqueda de nuevas fuentes de ingresos, es decir, la ampliación de la base de posibles víctimas. Después de la orientación al consumidor y luego de haber fastidiado los equipos de negocios, ahora han ampliado sus ataques a los servidores web.
Investigadores de malware del proveedor de antivirus ruso Doctor Web han descubierto recientemente un nuevo programa de malware para sistemas basados en Linux que ha sido llamado Linux.Encoder.1 y que solicita a sus víctimas un rescate en forma Bitcoin.
¿Cómo funciona?
Linux.Encoder.1 descarga entre otras cosas un archivo asociado a una clave RSA al que se recurre durante el proceso de infección, y aplica a los archivos la extensión .encrypted.
Una vez que se ejecutan en un sistema con privilegios de administrador que comienza atravesando todo el sistema de archivos y el cifrado los mismos en directorios específicos, incluyendo el directorio del usuario doméstico, el directorio del servidor MySQL, el directorio de registros y los directorios web de los servidores web Apache y Nginx.
El programa de malware encripta los archivos con determinadas extensiones, en particular los relacionados con las aplicaciones Web en diferentes lenguajes de programación, imágenes, multimedia y documentos. A continuación, deja una nota de rescate en cada directorio que contiene los archivos cifrados.
Linux.Encoder.1 utiliza un algoritmo de cifrado y criptografía de clave pública, por lo que que hay que pagar pra rescatar aquellos archivos de disco duro que no se encuentren respaldados.
A diferencia de los PC de consumo o estaciones de trabajo empresariales, los servidores Web son más propensos a tener una rutina de copia de seguridad configurado.
Sin embargo, este programa ransomware también cifra los archivos y directorios que contengan la palabra copia de seguridad, por lo que es de vital importancia salvar regularmente las copias de seguridad en servidor remoto o un almacenamiento fuera de línea.
Secuestrador furtivo
Al parecer, Linux.Encoder.1 tiene predilección por los administradores de páginas web. En el momento de la advertencia se calculaba que decenas de usuarios se encontraban afectados por este malware.
No está claro cómo se instala el malware en servidores, pero los ataques contra los sistemas de Linux suelen incluir fuerza bruta para lograr las credenciales de acceso remoto (SSH) o – también – manipulación de aplicaciones Web, como la inyección SQL o inclusión de archivos remotos, combinado con escaladas de privilegios locales.
Fuente