Milhares de servidores infectados com o novo ransomware Lilocked (Lilu)

Milhares de servidores web foram infectados e tiveram seus arquivos criptografados por uma nova variedade de ransomware chamada Lilocked (ou Lilu).

As infecções estão ocorrendo desde julho e se intensificaram nas últimas duas semanas, descobriu o ZDNet.

Com base nas evidências atuais, o ransomware Lilocked parece atingir apenas sistemas baseados em Linux.

Os primeiros relatórios datam que em julho, depois que algumas vítimas fizeram o upload da nota / demanda de resgate do Lilocked no ID Ransomware, um site para identificar o nome do ransomware que infectou o sistema da vítima.

Atualmente, a maneira como a gangue Lilocked viola servidores e criptografa seu conteúdo é desconhecida. Um tópico em um fórum de língua russa apresenta a teoria de que os hackers podem estar mirando sistemas executando software Exim (e-mail) desatualizado. Ele também menciona que o ransomware conseguiu obter acesso root aos servidores por meios desconhecidos.

Os servidores atingidos por este ransomware são fáceis de localizar porque a maioria dos arquivos é criptografada e ostenta uma nova extensão de arquivo “.lilocked” – veja a imagem abaixo.

Uma cópia da nota de resgate (denominada # README.lilocked) está disponível em cada pasta em que o ransomware criptografa arquivos.

Os usuários são redirecionados para um portal na dark web, onde são instruídos a inserir uma chave na nota de resgate. Aqui, a gangue Lilocked exibe um segundo pedido de resgate, pedindo às vítimas 0,03 bitcoin (aproximadamente US $ 325).

O Lilocked não criptografa arquivos do sistema, mas apenas um pequeno subconjunto de extensões, como HTML, SHTML, JS, CSS, PHP, INI e vários formatos de arquivo de imagem.

Isso significa que os servidores infectados continuam funcionando normalmente. Segundo o pesquisador de segurança francês Benkow , o Lilocked criptografou mais de 6.700 servidores, muitos dos quais foram indexados e armazenados em cache nos resultados de pesquisa (dorks) do Google.

No entanto, suspeita-se que o número de vítimas seja muito muito maior. Nem todos os sistemas Linux executam servidores da Web e existem muitos outros sistemas infectados que não foram indexados nos resultados de pesquisa do Google.

Como o ponto de entrada inicial para esta ameaça permanece um mistério, é impossível fornecer qualquer coisa, exceto conselhos genéricos de segurança aos proprietários de servidores – que são aconselhados a usar senhas exclusivas para todas as suas contas e manter os aplicativos atualizados com patches de segurança.

A gangue Lilocked não respondeu a um pedido de comentário enviado pelo portal ZDNet para o endereço de e-mail listado na nota de resgate.

Fonte: https://mundohacker.net.br/

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *