Milhares de servidores infectados com o novo ransomware Lilocked (Lilu)

Milhares de servidores web foram infectados e tiveram seus arquivos criptografados por uma nova variedade de ransomware chamada Lilocked (ou Lilu).

As infecções estão ocorrendo desde meados de julho e se intensificaram nas últimas duas semanas. Com base nas evidências atuais, o ransomware Lilocked parece atingir apenas sistemas baseados em Linux.

Os primeiros relatórios datam de meados de julho, depois que algumas vítimas fizeram o upload da nota / demanda de resgate do Lilocked no ID Ransomware, um site para identificar o nome do ransomware que infectou o sistema da vítima.

Atualmente, a maneira como a gangue Lilocked viola servidores e criptografa seu conteúdo é desconhecida. Um tópico em um fórum de língua russa apresenta a teoria de que bandidos podem estar mirando sistemas executando software Exim (e-mail) desatualizado. Ele também menciona que o ransomware conseguiu obter acesso root aos servidores por meios desconhecidos.

Os servidores atingidos por este ransomware são fáceis de localizar porque a maioria dos arquivos é criptografada e ostenta uma nova extensão de arquivo “.lilocked” – veja a imagem abaixo.

Uma cópia da nota de resgate (denominada # README.lilocked) está disponível em cada pasta em que o ransomware criptografa arquivos.

Os usuários são redirecionados para um portal na dark web, onde são instruídos a inserir uma chave na nota de resgate. Aqui, a gangue Lilocked exibe um segundo pedido de resgate, pedindo às vítimas 0,03 bitcoin (aproximadamente US $ 325).

O Lilocked não criptografa arquivos do sistema, mas apenas um pequeno subconjunto de extensões, como HTML, SHTML, JS, CSS, PHP, INI e vários formatos de arquivo de imagem.

Isso significa que os servidores infectados continuam funcionando normalmente. Segundo o pesquisador de segurança francês Benkow, o Lilocked criptografou mais de 6.700 servidores, muitos dos quais foram indexados e armazenados em cache nos resultados de pesquisa do Google.

No entanto, suspeita-se que o número de vítimas seja muito muito maior. Nem todos os sistemas Linux executam servidores da Web e existem muitos outros sistemas infectados que não foram indexados nos resultados de pesquisa do Google.

Como o ponto de entrada inicial para esta ameaça permanece um mistério, é impossível fornecer qualquer coisa, exceto conselhos genéricos de segurança aos proprietários de servidores – que são aconselhados a usar senhas exclusivas para todas as suas contas e manter os aplicativos atualizados com patches de segurança.

A gangue Lilocked não respondeu a um pedido de comentário enviado para o endereço de e-mail listado na nota de resgate.

E Você, comente abaixo para saber se o seu servidor sofreu algum ataque recentemente.

E Não deixe de visitar: https://www.deltaservers.com.br/ para acompanhar todas as novidades que preparamos para você!

Author: Lucas Alves

Deixe uma resposta

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.