Ransomware en servidores y repositorios Linux
Cada vez es más frecuente que los servidores Linux se conviertan en un objetivo para los ciberdelincuentes, a los que hay hay que sumar en esta ocasión los repositorios. Se está utilizando un ransomware para hacerse con el control de estos recursos y proceder al cifrado de su contenido o hacer uso de ellos de forma totalmente ilícita, bien sea para distribuir virus o alojar páginas web falsas.
Lo que se está analizando en primer lugar es la forma de infectar las máquinas, algo que por el momento no está muy claro y que algunos expertos apuntan a que un puerto abierto de la aplicación SSH podría ser la principal causa de que esto se produzca. El ransomware que llega a los servidores se encarga de cifrar los archivos que se encuentran en él creando archivos con la extensión .encrypt y utilizando el cifrado AES. Aunque en un primer momento se desconocía cuál era la finalidad real de todo esto, ya que en ningún momento se pidió una recompensa por lo datos cifrados, después se pudo comprobar al analizar una de las máquinas afectadas que se utilizaban los recursos para almacenar contenido de los ciberdelincuentes.
Páginas web falsas para realizar ataques phishing y malware en el caso de los repositorios son los dos recursos que tienen cobijo en los sistemas afectados por este ransomware instalado vía SSH.
Como ya es sabido, cuando se produce la detección de una página web falsa que se distribuye haciendo uso de correos electrónicos, los responsables de los servicios de hosting enseguida proceden a su eliminación gracias a la información de los usuarios y de las propias empresas afectadas. De esta forma, los ciberdelincuentes han conseguido un servicio de alojamiento totalmente gratuito y que además tendrá un rendimiento muy bueno.
El ransomware afecta a los archivos que se utilizan para el desarrollo web
.js, .css, .properties, .xml, .ruby, .php, .html, .gz, .asp, .rar, .7z, .xls, .pdf, .doc, .avi, .mov, .png, .jpgy así hasta completar un largo listado de archivos que se ven afectados por este. Tal y como se puede observar, además de archivos multimedia también se realiza el bloqueo de archivos de desarrollo web.
Adicionalmente también se ha detectado en algunos casos que los ciberlincuentes solicita 1 Bitcoin en un fichero de texto para que se realice la liberación de los archivos. Sin embargo, lo peor es que estos se han hecho con el control del servidor y en algunos casos del repositorio.
Los expertos alertan a los usuarios sobre la seguridad de los NAS domésticos
Aunque todavía no existe ningún caso conocido, se pide extremar la precaución a los usuarios poseedores de un servidor NAS, ya que podrían ser el próximo objetivo de los ciberdelincuentes. Por este motivo se pide no utilizar contraseñas triviales y cerrar los puertos para evitar este tipo de ataques, por no decir que se debe cuidar qué archivos se almacenan en este para no guardar un malware de forma accidental.
Fuente: redeszone.netVisítanos en Underc0de