Lilu, nuevo ransomware infecta miles de servidores basados en Linux
Este Lilu no tiene nada que ver con la mujer que terminó siendo el quinto elemento. Se trata de un nuevo ransomware que también recibe el nombre de Lilocked y que cuyo objetivo es infectar servidores basados en Linux, algo que ha conseguido. El ransomware empezó a infectar servidores a mediados de julio, pero en las últimas dos semanas los ataques han empezado a ser más frecuentes. Mucho más frecuentes.
El primer caso conocido del ransomware Lilocked salió a la luz cuando un usuario subió una nota a ID Ransomware, una web creada para identificar el nombre de este tipo de software malicioso. Su objetivo son los servidores y conseguir acceso root en los mismos. El mecanismo que usa para conseguir ese acceso aún es desconocido. Y lo malo es que ahora, menos de dos meses después, se ha sabido que Lilu ha infectado miles de servidores basados en Linux.
Lilu ataca servidores Linux para conseguir acceso root
Lo que hace Lilocked, algo que podemos intuir por su nombre, es bloquear. Para ser más concretos, una vez el servidor ha sido atacado con éxito, los archivos se bloquean con una extensión .lilocked. Dicho de otro modo, el software malicioso modifica los archivos, les cambia la extensión a .lilocked y quedan totalmente inservibles… a no ser que se pague para restaurarlos.
Además de cambiar la extensión de los archivos, también aparece una nota que dice (en inglés):
“¡¡¡He cifrado todos tus datos sensibles!!! Es un cifrado fuerte, así que no seas ingenuo intentando restaurarlo ;)”
Una vez se hace clic en el enlace de la nota, se redirige a una página en la dark web que pide poner la clave que hay en la nota. Cuando se añade dicha clave, se pide que se ingresen 0.03 bitcoins (294.52€) en la cartera de Electrum para que se elimine el cifrado de los archivos.
No afecta a archivos del sistema
Lilu no afecta a archivos del sistema, pero otros como los HTML, SHTML, JS, CSS, PHP, INI y otros formatos de imágenes sí pueden ser bloqueados. Esto significa que el sistema funcionará con total normalidad, solo que no se podrá acceder a los archivos bloqueados. El “secuestro” recuerda un poco al del “Virus de la policía”, con la diferencia de que aquel sí que impedía el uso del sistema operativo.
El investigador de seguridad Benkow dice que Lilock ha afectado unos 6.700 servidores, la mayoría de ellos se almacenan en caché en los resultados de búsqueda de Google, pero podría haber más afectados que no están indexados por el famoso buscador. En el momento de escribir este artículo y como hemos explicado, no se conoce el mecanismo que usa Lilu para funcionar, por lo que no hay ningún parche que aplicar. Sí se recomienda que usemos contraseñas fuertes y que mantengamos el software siempre bien actualizado.